Dos personas mayores se quedaron el mismo día sin acceso a su WhatsApp por el mismo motivo: alguien se había metido a su cuenta y ya no podían entrar. En ambos casos el problema empezó igual, con un mensaje de un “contacto” pidiendo que reenviaran un código que les había llegado por error. Si te suena familiar (o conoces a alguien a quien le pasó algo parecido), este artículo es para ti.
WhatsApp es, sin competencia, la app más usada en México. También es, sin competencia, el medio favorito de los estafadores para robar cuentas, vaciar tarjetas y suplantar a familiares. La buena noticia es que casi todas estas estafas se basan en el mismo truco de fondo, y una vez que lo entiendes, son fáciles de detectar. Vamos por las modalidades más comunes y, al final, los pasos para proteger tu cuenta en el iPhone.
El robo más común: “te mandé un código por error, ¿me lo reenvías?”
Esta es, por mucho, la estafa más extendida en México. Te llega un mensaje de WhatsApp de un contacto (a veces real, porque su cuenta ya fue hackeada antes, a veces un número desconocido haciéndose pasar por “soporte” o por un conocido) diciendo algo como: “Disculpa, te mandé un código por error, ¿me lo puedes pasar?” o “Me llegó un mensaje de verificación a tu número, ¿me lo compartes?”.
Lo que en realidad pasa es que el estafador ya puso tu número de teléfono en la pantalla de registro de WhatsApp en su propio celular. Eso hace que WhatsApp te envíe a ti, por SMS, un código de seis dígitos. Ese código no es un premio ni un error: es la llave para entrar a tu cuenta desde otro teléfono. Si lo compartes, el estafador completa el registro en su dispositivo y tu sesión se cierra automáticamente en el tuyo. A partir de ahí tiene control total: tus chats, tus contactos, y la posibilidad de escribirles a todos haciéndose pasar por ti.
La regla es absoluta: el código de verificación de WhatsApp nunca se comparte con nadie, bajo ningún pretexto. WhatsApp jamás te lo va a pedir por chat, ni un familiar real necesita que tú le reenvíes “su” código. Si alguien te lo pide, ya intentó robarte la cuenta.
El “buzoneo”: te saturan de llamadas para robar el código por tu buzón de voz
Esta variante no necesita que tú hagas nada, ni que compartas un código por chat. El estafador pone tu número en la pantalla de registro de WhatsApp y elige la opción de “verificar por llamada” en vez de SMS. Justo antes, te bombardea con varias llamadas seguidas (a veces desde números distintos) para que tu línea esté ocupada o no contestes. Como no respondes, la llamada de WhatsApp con el código de seis dígitos cae directo a tu buzón de voz.
Ahí entra la segunda parte: el estafador marca a tu buzón de voz y prueba los PIN que vienen de fábrica (como 0000 o 1234), que mucha gente nunca cambia. Si el buzón tiene el PIN de fábrica, escucha el mensaje con tu código y completa el registro en su teléfono, exactamente con el mismo resultado que si hubieras compartido el código tú mismo.
La protección es simple y se hace una sola vez: cambia el PIN de tu buzón de voz desde la app de Teléfono del iPhone (visual voicemail → Buzón de voz → Configuración del buzón, o marcando a tu propio buzón y siguiendo las opciones de tu operador) por uno que no sea 0000, 1234 ni tu fecha de nacimiento. Junto con la verificación en dos pasos de WhatsApp (más abajo), esto cierra esta puerta por completo.
La variante del “concurso” o “vota por mi foto”
Una versión más elaborada del mismo truco, detectada por la firma de seguridad Kaspersky, usa páginas web falsas de votación (por ejemplo, “concursos” de fotos de atletas o niños). La página te pide ingresar tu número de teléfono para “votar”, y justo en ese momento, en segundo plano, intenta registrar ese número en WhatsApp Web. Eso dispara el mismo código de seis dígitos hacia tu celular, y la página falsa te pide que lo escribas ahí “para confirmar tu voto”. Si lo haces, le acabas de abrir la puerta a tu cuenta al estafador, exactamente igual que con el mensaje directo.
El patrón de fondo es siempre el mismo: cualquier sitio o persona que te pida un código de verificación que te llegó por SMS está intentando entrar a tu cuenta, sin excepción.
Links de “tu paquete está detenido” o de la Tesorería/SAT
Otra modalidad muy común son los mensajes que suplantan a paqueterías, bancos o instituciones de gobierno (se han reportado casos usando el nombre de tesorerías estatales) con un link para “resolver” algo: un paquete detenido, un adeudo, una devolución de impuestos. El link lleva a una página que imita a la real y pide tus datos bancarios, tu CLABE, o tus contraseñas.
Aquí la regla es la de siempre con cualquier phishing, solo que ahora llega por WhatsApp en vez de correo: ninguna institución seria te pide datos bancarios completos, contraseñas o el código de tu tarjeta por un link de WhatsApp. Si tienes duda de un cobro o un paquete, entra directamente a la app oficial o a la página escribiendo tú la dirección, nunca dando clic al link del mensaje.
El código QR que vincula tu cuenta sin que te enteres (Ghost Pairing)
Esta es la modalidad más reciente y la más difícil de detectar, porque a diferencia de las anteriores, no te saca de tu cuenta: el estafador la usa al mismo tiempo que tú, en silencio. Funciona así: te hacen escanear un código QR (a veces presentado como “promoción”, “soporte técnico” o incluso pegado físicamente en algún lugar) que en realidad es el código para vincular un dispositivo nuevo a tu WhatsApp, igual al que usarías para entrar a WhatsApp Web desde tu computadora. Una vez vinculado, el estafador puede leer tus chats y enviar mensajes desde un “dispositivo vinculado” sin que tu sesión principal se cierre ni recibas ninguna alerta visible.
La señal de alerta es recibir un código de verificación o una notificación de “nuevo dispositivo vinculado” que tú no solicitaste. La forma de revisarlo y limpiarlo es manual, pero toma menos de un minuto (ver pasos abajo).
Cómo blindar tu WhatsApp en el iPhone
Con eso en mente, esto es lo que de verdad mueve la aguja, en orden de importancia:
1. Activa la verificación en dos pasos con PIN. Esta es la protección más importante de todas, porque vuelve inútil el truco del “código por error”: aunque alguien consiga tu código de seis dígitos por SMS, no podrá entrar a tu cuenta sin tu PIN adicional. Para activarla en el iPhone: abre WhatsApp, ve a Ajustes → Cuenta → Verificación en dos pasos → Activar, y crea un PIN de 6 dígitos que puedas recordar pero que nadie adivine (evita fechas de nacimiento obvias). Agrega también un correo electrónico de recuperación: si algún día olvidas el PIN, es la única forma de restablecerlo sin esperar días.
2. Revisa tus dispositivos vinculados de vez en cuando. Ve a Ajustes → Dispositivos vinculados. Ahí debe aparecer únicamente lo que tú reconoces (por ejemplo, WhatsApp Web en tu computadora). Si ves algo que no reconoces, tócalo y selecciona Cerrar sesión. Hazlo especialmente si recibiste algún código o notificación de “nuevo dispositivo” que no pediste.
3. Nunca compartas el código de verificación de seis dígitos, sin importar quién lo pida, qué excusa use o qué tan urgente suene. Es el equivalente a darle la llave de tu casa a un desconocido porque dice que es “del gas”.
4. No escanees códigos QR de origen desconocido pensando que son promociones, cupones o soporte técnico. Si alguien te pide escanear un QR para “ayudarte” con WhatsApp, es casi seguro que se trata de Ghost Pairing.
5. Si un “familiar” te escribe desde un número nuevo pidiendo dinero con urgencia, verifica por otro medio. Es una de las estafas más comunes: “hola mamá/papá, se me rompió el celular, este es mi número nuevo, mándame algo urgente”. Una llamada normal al número que ya tenías guardado, no al “nuevo”, es suficiente para desmontarla.
6. No le des clic a links de paquetería, bancos o gobierno que lleguen por WhatsApp. Si necesitas revisar algo, entra a la app oficial o escribe tú la dirección en el navegador.
7. Activa el bloqueo de la app con Face ID. Ve a Ajustes → Privacidad → Bloqueo de la pantalla y activa Requerir Face ID. Así, aunque alguien tome tu iPhone desbloqueado, no puede abrir WhatsApp directamente y leer un código de verificación que te acabe de llegar o revisar tus chats.
8. Limita quién ve tu foto de perfil, tu “info” y tu última hora de conexión. En Ajustes → Privacidad, cambia estos campos de “Todos” a “Mis contactos” (o “Nadie”). Mientras menos información pública tengan los estafadores sobre ti, más difícil es que armen un mensaje creíble haciéndose pasar por alguien conocido.
El segundo golpe: te “ayuda” alguien de la “policía cibernética”
Hay un remate de esta estafa que vale la pena conocer porque llega justo cuando estás más vulnerable: minutos después de perder el acceso a tu cuenta, te contactan (por llamada, SMS o desde otro WhatsApp) personas que dicen ser de la Policía Cibernética y se ofrecen a “ayudarte a recuperar” tu cuenta. Para “verificar tu identidad” o “agilizar el proceso”, te piden datos personales, códigos adicionales o incluso un pago.
La Policía Cibernética (la unidad real existe, depende de la SSC en CDMX y de sus equivalentes en otros estados) no contacta a víctimas por iniciativa propia ofreciendo ayuda, no pide códigos de verificación ni cobra nada. Si recibes un contacto así justo después de un intento de robo de cuenta, es parte de la misma estafa, no una coincidencia. Cuelga, no compartas nada más, y sigue los pasos de recuperación oficiales de WhatsApp (abajo). Si quieres reportarlo, hazlo directamente a los canales oficiales de la policía cibernética de tu estado, nunca a través de quien te contactó.
Si ya te robaron la cuenta: qué hacer de inmediato
Si te quedaste fuera de WhatsApp y sospechas que alguien más entró con tu número, estos son los pasos en orden:
- Intenta volver a registrar tu número en WhatsApp, en tu propio iPhone, como si fuera la primera vez. Al solicitar el código de verificación (por SMS o llamada) y completar el registro, WhatsApp cierra automáticamente la sesión del estafador, porque solo permite un dispositivo activo por número.
- Si lograste recuperar el acceso, activa de inmediato la verificación en dos pasos (paso 1 de arriba) para que no puedan volver a hacerlo.
- Avisa a tus contactos por otro medio (llamada, SMS, otra red social) de que tu cuenta estuvo comprometida, para que ignoren cualquier mensaje raro que hayan recibido de tu número durante ese tiempo, sobre todo si pedía dinero.
- Si no logras recuperar el acceso porque el estafador ya activó su propia verificación en dos pasos, escribe a support@whatsapp.com con el mensaje “Teléfono robado/extraviado, por favor desactiva mi cuenta”, incluyendo tu número completo con código de país (+52 para México). WhatsApp puede tardar hasta 7 días en procesar esto, así que avisa a tus contactos mientras tanto.
Ninguna de estas protecciones toma más de unos minutos, pero son justo las que separan un mensaje sospechoso sin consecuencias de una cuenta perdida y una lista de contactos recibiendo mensajes pidiendo dinero a tu nombre. Si tienes papás, tíos o abuelos que usan WhatsApp a diario, vale la pena sentarse cinco minutos con ellos y activar la verificación en dos pasos juntos. Es, con diferencia, el seguro más barato que existe.
