WhatsApp se ha convertido en uno de los principales vectores de fraude digital a escala global, no solo por su enorme base de usuarios, sino por la confianza casi automática que muchas personas depositan en los mensajes que reciben a través de la plataforma. Los datos recopilados por organismos oficiales y empresas de ciberseguridad dibujan un escenario preocupante: el FBI ha contabilizado más de 5.100 denuncias vinculadas directamente a estafas realizadas mediante WhatsApp, con pérdidas económicas que superan los 262 millones de dólares. A esta cifra se suman los análisis de compañías como Gen Digital, Check Point Research y la Agencia Nacional de Ciberseguridad del Reino Unido, que coinciden en identificar una serie de técnicas especialmente eficaces y difíciles de detectar, ya activas en países como España.
Lejos de tratarse de ataques aislados, los expertos describen un ecosistema de fraudes cada vez más sofisticado, diseñado para explotar tanto las funciones propias de WhatsApp como los avances recientes en inteligencia artificial y la integración con servicios externos. Entender cómo operan estas estafas es clave para comprender por qué están teniendo tanto éxito y por qué resulta tan complejo frenarlas.
-La evolución del engaño emocional: cuando la voz ya no es una prueba
Una de las técnicas más efectivas sigue siendo la conocida como “la estafa del familiar en apuros”, un fraude que apela directamente al miedo y a la urgencia. Aunque el esquema básico existe desde hace años, su versión actual incorpora inteligencia artificial para llevar la manipulación a un nuevo nivel. A principios de 2025, el Instituto Nacional de Ciberseguridad (INCIBE) detectó un repunte de estos casos, ya no basados únicamente en mensajes de texto, sino en audios que imitan con sorprendente precisión la voz de hijos, hijas u otros familiares cercanos.
El funcionamiento es tan simple como devastador: la víctima recibe un mensaje de voz en WhatsApp desde un número desconocido o aparentemente nuevo. Al reproducirlo, escucha a alguien que suena exactamente como su familiar, relatando una situación extrema como un accidente, un robo o una detención inesperada. El tono es nervioso, apresurado y emocionalmente creíble, lo suficiente como para desactivar cualquier sospecha inicial.
Según explica Oliver Devane, investigador de McAfee, los sistemas actuales de clonación de voz pueden generar imitaciones convincentes con apenas tres segundos de audio real. Ese material no tiene por qué proceder de una grabación privada: basta con un vídeo público en TikTok, un clip subido a YouTube o incluso fragmentos de una llamada que nunca llegó a contestarse. En este tipo de ataques no es necesario robar números de teléfono ni acceder a la cuenta de WhatsApp de la víctima; la voz, por sí sola, se ha convertido en una nueva credencial explotable.
-Ghost pairing: secuestro de cuentas sin contraseñas ni códigos
Otro de los métodos que más preocupa a los especialistas es una técnica conocida como “Ghost Pairing”, detectada recientemente por Gen Digital. A diferencia de los ataques clásicos, este sistema no requiere interceptar mensajes SMS, clonar tarjetas SIM ni robar contraseñas. Todo se basa en manipular al usuario para que autorice, sin saberlo, el acceso a su propia cuenta.
El proceso suele comenzar con un mensaje aparentemente inofensivo enviado desde un contacto conocido o que suplanta a uno real. Frases como “he encontrado tu foto” o “mira esto” sirven de anzuelo. El enlace incluido genera una vista previa dentro de WhatsApp, lo que refuerza la sensación de legitimidad. Al pulsarlo, la víctima es dirigida a una página falsa que solicita una supuesta verificación para acceder al contenido.
En realidad, esa página está interactuando con los sistemas de WhatsApp para generar un código de vinculación de dispositivos. El usuario, convencido de que está completando una comprobación de seguridad o un proceso de autenticación adicional, introduce ese código en la aplicación. Con ese simple gesto, autoriza el navegador del atacante como un dispositivo vinculado. A partir de ese momento, el delincuente puede acceder a las conversaciones, archivos y datos de la cuenta sin levantar sospechas inmediatas, y lo más grave: sin que la víctima perciba que ha ocurrido una intrusión tradicional.
-Suplantación de grandes plataformas: el poder de la alarma y la urgencia
El tercer gran frente de ataque identificado por las autoridades se apoya en la suplantación de marcas tecnológicas y servicios digitales de uso masivo. En una alerta publicada el 19 de noviembre, el FBI advirtió sobre un aumento sostenido de estafas de tipo “account takeover” que utilizan nombres como Amazon, Netflix, Google o PayPal para generar confianza y, al mismo tiempo, miedo.
El esquema se repite con ligeras variaciones: la víctima recibe un mensaje por WhatsApp, SMS o incluso una llamada telefónica en la que se le informa de una supuesta actividad sospechosa, un pago rechazado o el bloqueo preventivo de su cuenta. El lenguaje empleado es profesional, directo y diseñado para provocar una reacción rápida. En ese mismo mensaje se incluye un enlace para “verificar la identidad” o “restablecer el acceso”.
Al acceder, el usuario se encuentra con una copia casi idéntica de la web oficial del servicio suplantado. Formularios, logotipos y diseño refuerzan la ilusión de legitimidad. Una vez introducidas las credenciales, estas pasan directamente a manos de los atacantes, que pueden utilizarlas para tomar el control de la cuenta o venderlas en mercados clandestinos.
-Un problema estructural que exige más que precaución individual
El denominador común de todas estas estafas es la explotación de la confianza: confianza en la voz de un familiar, en un contacto conocido o en una marca reconocida. WhatsApp, por su diseño y alcance, se ha convertido en el canal perfecto para este tipo de ataques, especialmente cuando se combinan con inteligencia artificial y técnicas de ingeniería social cada vez más refinadas.
Los expertos coinciden en que la solución no pasa únicamente por la vigilancia individual, sino por una mayor educación digital, mejoras en los sistemas de detección automática y una revisión constante de las funciones que permiten vincular dispositivos o interactuar con enlaces externos. Mientras tanto, los datos muestran una realidad clara: los fraudes en WhatsApp no solo están creciendo, sino que se están profesionalizando a una velocidad que pone en jaque los modelos tradicionales de seguridad digital.