- WhatsApp incorpora alertas basadas en IA para detectar solicitudes sospechosas y grupos potencialmente fraudulentos.
- Los ciberdelincuentes usan ingeniería social, suplantación de identidad y enlaces maliciosos para robar datos y dinero.
- La combinación de tecnología antifraude, canales oficiales de avisos y buenas prácticas del usuario reduce drásticamente el riesgo.
WhatsApp se ha convertido en una herramienta imprescindible en nuestro día a día, pero también en un auténtico imán para los timos digitales. Cada vez hay más ciberdelincuentes que aprovechan la popularidad de la app para robar datos personales, vaciar cuentas bancarias o suplantar nuestra identidad ante amigos, familiares o incluso clientes. El problema no para de crecer y, si bajamos la guardia solo un momento, el susto puede ser importante.
Frente a este panorama, Meta y distintos organismos de ciberseguridad están moviendo ficha. La compañía de Mark Zuckerberg ha desplegado nuevas alertas contra estafas en WhatsApp basadas en inteligencia artificial, cambios en los grupos, avisos al escribir a desconocidos y herramientas de bloqueo masivo de cuentas. Al mismo tiempo, agencias públicas como la Agència de Ciberseguretat de Catalunya lanzan canales de avisos y formularios para reportar fraudes. Todo esto ayuda, pero la clave sigue siendo que el usuario sepa detectar los engaños y actuar a tiempo.
Por qué WhatsApp es el lugar favorito de los estafadores
WhatsApp es la aplicación de mensajería más usada en buena parte del mundo y, en países como España o Argentina, se utiliza para todo tipo de comunicaciones personales y profesionales, desde charlar con la familia hasta cerrar negocios. Esa omnipresencia hace que, si un delincuente logra colarse en una cuenta, tenga un enorme margen para hacer daño.
Los atacantes se apoyan sobre todo en la ingeniería social, es decir, en manipular a las personas para que hagan algo que no harían si estuvieran en frío: pulsar en enlaces falsos, descargar archivos con malware, compartir un código de verificación o enviar dinero por Bizum o criptomonedas. No necesitan ser unos genios técnicos; les basta con explotar la confianza, las prisas y la falta de desconfianza de la víctima.
En los últimos años se ha visto un aumento considerable tanto de mensajes y llamadas fraudulentas como de campañas coordinadas a gran escala desde macrocentros de estafas, especialmente en regiones como el sudeste asiático. Estas redes criminales sacan partido de herramientas avanzadas, incluida la IA generativa, para lanzar campañas masivas en varios idiomas, combinar WhatsApp con otras plataformas como Telegram o TikTok y perfilar mejor a sus objetivos.
Además, los cibercriminales ya no se conforman con atacar a usuarios particulares. En muchos casos, las empresas son el objetivo principal, porque con un solo empleado engañado pueden acceder a sistemas internos, datos sensibles o grandes sumas de dinero. De ahí que los fraudes tipo “CEO” o los mensajes que simulan ser de un proveedor o de un banco sean cada vez más frecuentes.
Al mismo tiempo, organismos públicos recuerdan que hay un crecimiento importante de estafas por mensajería, SMS, correos y códigos QR. Solo en zonas como Catalunya se contabilizan decenas de miles de estafas cibernéticas al año, lo que se traduce en casi 200 al día. Y las previsiones apuntan a que el problema seguirá empeorando, sobre todo por el uso creciente de inteligencia artificial para perfeccionar los engaños.
El nuevo sistema de alertas de WhatsApp para frenar estafas
Para intentar ir un paso por delante de los timadores, Meta ha anunciado un conjunto de medidas antifraude y nuevas funciones de WhatsApp que se apoyan en sistemas avanzados de inteligencia artificial. El objetivo es claro: detectar señales sospechosas lo antes posible, avisar al usuario y cortar las cuentas criminales antes de que puedan causar un daño real.
Una de las novedades más relevantes es que, según explica la propia empresa, WhatsApp mostrará un aviso cuando detecte que una solicitud de vinculación de cuenta puede ser sospechosa. Es decir, si alguien intenta asociar tu cuenta a otro dispositivo o realizar una acción que encaje con patrones de fraude, la app te alertará para que te lo pienses dos veces antes de aceptar.
Estas alertas no se limitan a un simple mensaje genérico: indican de dónde procede la solicitud y advierten expresamente de que podría tratarse de una estafa. De esta forma, Meta quiere dar margen al usuario para reconsiderar la acción y, si hace falta, rechazarla, revisar su configuración de seguridad o bloquear al posible atacante.
La IA que hay detrás analiza múltiples señales de comportamiento, tanto a nivel de usuarios individuales como de redes de cuentas. Gracias a ello, Meta afirma que ha podido bloquear más de 6,8 millones de cuentas vinculadas a redes criminales dedicadas a ciberestafas antes incluso de que mandaran un solo mensaje. Muchas estaban conectadas con macrocentros de estafas que operan a gran escala y explotan a personas víctimas de trata obligadas a trabajar para el fraude.
En algunos casos, estas redes combinan herramientas como ChatGPT para crear mensajes iniciales muy pulidos en diferentes idiomas, que contienen enlaces hacia chats de WhatsApp donde continúa el engaño y, más tarde, derivan a otras plataformas como Telegram. Allí se llegan a montar farsas complejas, como supuestas tareas de dar “me gusta” a vídeos de TikTok con falsas ganancias crecientes, hasta que la víctima se ve empujada a invertir dinero en criptomonedas que van a parar a los criminales.
Meta subraya que está reforzando su capacidad para identificar suplantaciones de identidad de empresas conocidas, servicios financieros, personalidades públicas o instituciones. El uso de IA permite localizar cuentas que imitan logos, nombres o estilos de comunicación de marcas legítimas y cortar su actividad cuanto antes. Además, se monitorizan y penalizan los contenidos que redirigen a páginas web diseñadas para parecer oficiales, pero que en realidad son clones maliciosos.
Alertas al entrar en grupos y al escribir a desconocidos
Otra pata clave de la estrategia pasa por cómo WhatsApp gestiona los grupos y las conversaciones con contactos que no tenemos guardados. Meta ha desplegado una función por la cual la aplicación avisa cuando te añaden a un grupo creado por alguien que no figura en tu agenda. La propia compañía reconoce que esta es una situación de alto riesgo, ya que muchos fraudes se organizan en grupos llenos de desconocidos.
Cuando esto sucede, verás una notificación específica y podrás salir del grupo sin necesidad de leer los mensajes ni interactuar con nadie. Por defecto, además, se silencian las notificaciones de ese grupo hasta que decidas si quieres permanecer o abandonar. Esta pequeña barrera reduce la presión de entrar “por curiosidad” y caer en posibles propuestas de inversión, chollos imposibles o cadenas engañosas.
Los grupos incluyen ahora un elemento llamado «resumen de seguridad», que muestra información básica sobre el grupo: quién lo ha creado, en qué fecha se inició y algunos consejos de seguridad para que desconfíes si algo no encaja. No es un sistema mágico, pero sí una ayuda visual para que no entres en un grupo sin saber mínimo de qué va y quién está detrás.
En cuanto a los chats individuales, WhatsApp está probando un tipo de advertencia cuando empiezas a hablar con alguien que no está en tu lista de contactos. Estas alertas pueden mostrarte más contexto sobre ese número, recordarte prácticas básicas de seguridad y animarte a pensártelo antes de compartir datos o seguir la conversación.
Meta insiste en que la mejor defensa es la reflexión. De hecho, la compañía aconseja a los usuarios que se acostumbren a “reflexionar, cuestionar y verificar” cualquier mensaje inusual, especialmente si procede de un número desconocido que promete dinero fácil, ofertas de trabajo increíbles o premios que no has solicitado. Cuanto más se interioriza esa forma de pensar, menos margen tienen los timadores para presionar o jugar con las prisas.
Canales públicos de alertas y avisos sobre ciberestafas
Las medidas de Meta no son las únicas en marcha. En el ámbito institucional también se están creando iniciativas específicas para mantener a la ciudadanía informada de estafas activas y problemas de seguridad con impacto masivo. Un ejemplo claro es el de la Agència de Ciberseguretat de Catalunya.
Este organismo ha puesto en marcha un canal de WhatsApp para enviar avisos y alertas de ciberseguridad en tiempo real, centrado en estafas digitales, fraudes en línea y amenazas que afectan a un número elevado de personas. La idea es que cualquier usuario pueda recibir información útil de servicio público directamente en su móvil y, así, reconocer mejor los engaños que están circulando.
Además del canal, la Agencia mantiene en su web un espacio específico de avisos y alertas, junto con un formulario para que los ciudadanos reporten ciberestafas que detecten. Ese buzón no sustituye a una denuncia policial, pero sí sirve como fuente adicional de información para identificar tendencias y mejorar la rapidez con la que se difunden las alertas al resto de usuarios.
La directora del organismo remarca que la primera línea de defensa contra el cibercrimen es estar bien informado y conocer los conceptos básicos para evitar engaños. En los últimos años han observado un incremento significativo de llamadas fraudulentas, correos de phishing, mensajes por apps como WhatsApp o Telegram y trampas usando SMS o códigos QR. Y la previsión es que todo esto siga creciendo, sobre todo con el empuje de la inteligencia artificial.
En ese sentido, desde la Agencia se advierte de que la irrupción de la IA hará que las estafas sean más sofisticadas y difíciles de detectar. Por ahora, muchos de los fraudes generados con IA avanzada, como los deepfakes de voz o vídeo, son complejos de desarrollar y aún no están masificados, pero se espera que la calidad y la accesibilidad de estas herramientas aumenten rápido. Esto obligará a redoblar la formación ciudadana y a combinar la tecnología con una cultura de sospecha sana.
Principales tipos de estafas por WhatsApp y cómo operan
Más allá de las nuevas alertas, conviene conocer bien los timos más habituales que circulan por WhatsApp, tanto a nivel doméstico como empresarial. Muchas de estas estafas comparten patrones, pero cambian el gancho para adaptarse al contexto de la víctima.
Uno de los clásicos es el timo del «hola, cómo estás» desde un número desconocido. El estafador inicia una conversación muy informal para ganarse la confianza, a veces fingiendo ser una empresa conocida con una oferta irresistible. El mensaje suele incluir un enlace a una página donde te invitan a introducir datos personales, credenciales de acceso o información financiera. Ese formulario sirve para alimentar futuras estafas más elaboradas, ya con datos verídicos que hacen más creíble el engaño.
Otra estafa muy peligrosa es la del código de verificación de WhatsApp. El delincuente te envía un mensaje diciendo que te ha llegado por error un código de seis dígitos y que, por favor, se lo reenvíes. Si lo haces, estás entregando la llave de tu cuenta: con ese código puede iniciar sesión en tu WhatsApp en otro dispositivo, tomar el control completo, acceder a tu copia de seguridad, tus contactos y tus conversaciones, y utilizar tu identidad para estafar a otros.
En el ámbito corporativo ha ganado peso el llamado fraude del CEO por WhatsApp. Aquí el objetivo suele ser un empleado del departamento financiero, administración o contabilidad. El atacante se hace pasar por un alto directivo o un responsable de área, usando un tono de máxima urgencia y confidencialidad, para que se efectúe una transferencia bancaria o se autorice un pago importante. Se juega con la presión del tiempo y con halagos o promesas de recompensa para evitar que el empleado contraste la orden por canales oficiales.
No podemos olvidar tampoco el timo del familiar en el extranjero o del hijo con número nuevo. El estafador se presenta como un supuesto pariente, pero no da su nombre; deja que la víctima lo “adivine” para que sea ella quien le proporcione la información. A partir de ahí, pide dinero para una emergencia, supuestos problemas legales o billetes de viaje, o intenta conseguir datos sensibles. Es un fraude doble, porque hay suplantación de identidad y, a la vez, robo de datos personales o bancarios.
Además, proliferan falsas ofertas de empleo, oportunidades de inversión en criptomonedas, ventas de productos inexistentes o esquemas piramidales. Muchas veces empiezan con un simple mensaje amigable en WhatsApp, enlazado desde anuncios en redes sociales o correos de phishing, y terminan en otras plataformas donde el timador ejerce más control y puede presionar mejor a la víctima.
Cómo detectar señales de que un mensaje puede ser una estafa
Reconocer a tiempo los indicios de fraude es fundamental para no caer en la trampa. Aunque cada campaña es distinta, hay varios puntos en común que deberían disparar las alarmas y hacerte sospechar de inmediato.
La primera pista es el origen del mensaje: si viene de un número que no tienes guardado en tu agenda, extrema la precaución. No puedes saber con seguridad quién está detrás y, si la persona no se identifica con claridad, la desconfianza debería ser el punto de partida. Esto vale tanto para mensajes supuestamente personales como para los que dicen ser de bancos, empresas o administraciones públicas.
Otra señal clara es la falta de datos concretos o la información vaga e imprecisa. El supuesto familiar no dice quién es, el “banco” no menciona tu nombre ni datos de la cuenta, la empresa no detalla el proceso de selección. Si todo se formula en términos genéricos es porque el mismo mensaje se está enviando en masa a miles de personas.
También conviene fijarse en el uso extraño del idioma: errores ortográficos, expresiones raras o construcciones poco naturales. En WhatsApp no escribimos perfecto, eso es cierto, pero cuando un supuesto banco, institución pública o gran empresa comete fallos graves de redacción, hay motivos de sobra para sospechar.
Otro elemento típico es la presión del tiempo y las emociones fuertes: urgencia, miedo a perder dinero, promesas de ganancias rápidas o apelaciones a la pena. Cuanto menos tiempo tengas para pensar, más fácil es que el timador te haga actuar sin verificar. Si además te piden que no cuentes nada a nadie “por confidencialidad”, el riesgo se dispara.
Finalmente, cualquier mensaje que pida códigos de verificación, contraseñas, datos bancarios, fotos de documentos o transferencias de dinero merece una pausa y una comprobación por otro canal. Ni bancos, ni administraciones, ni empresas serias solicitan este tipo de información sensible a través de WhatsApp, y menos aún desde números móviles no verificados o sin contexto previo.
Medidas para evitar estafas en WhatsApp y proteger tu cuenta
Las nuevas funciones de WhatsApp ayudan, pero la seguridad real se construye con tus hábitos. Hay una serie de prácticas básicas que reducen de forma drástica la probabilidad de que un fraude llegue a buen puerto.
Lo primero es activar la verificación en dos pasos en WhatsApp. Esta función añade un PIN adicional que el atacante necesitaría conocer incluso aunque consiguiera tu código de verificación por SMS. Se configura desde los ajustes de la aplicación y supone una capa extra extremadamente eficaz frente al robo de cuenta.
Otra recomendación clave es no responder a mensajes de desconocidos y, en caso de duda, no compartir nunca datos personales ni financieros. Si el mensaje huele raro, no entres al juego: ni enlaces, ni archivos, ni fotos de documentos, ni números de tarjetas o cuentas. Ante la mínima sospecha, bloquea y, si lo consideras oportuno, reporta el chat a WhatsApp.
También es importante desactivar la descarga automática de archivos (fotos, vídeos, documentos y audio) para evitar que se instale sin querer algún tipo de malware. Revisa los ajustes de almacenamiento y datos de la app y elige que solo se descarguen los archivos cuando tú lo autorices. Es un pequeño cambio que puede impedir la infección del dispositivo.
Desde el punto de vista técnico, conviene mantener siempre el sistema operativo y las aplicaciones actualizadas a su última versión. Muchas empresas de spyware comercial o actores maliciosos aprovechan vulnerabilidades en el software para colarse en los móviles sin que el usuario haga nada. Las actualizaciones tapan esos agujeros y reducen su margen de acción.
Si trabajas en una empresa, la formación de la plantilla es crucial. Capacitar a los empleados para reconocer fraudes del CEO, enlaces maliciosos o solicitudes de información sospechosas puede marcar la diferencia entre un simple intento de engaño y un ataque exitoso que afecte a toda la organización. La ciberseguridad corporativa se apoya en tres pilares: concienciación, protección tecnológica y capacidad de respuesta rápida.
Qué hacer si sospechas o confirmas una estafa en WhatsApp
Aunque seas prudente, nadie está completamente a salvo. Si detectas que un mensaje puede ser fraudulento o crees que ya has sido víctima de una estafa, hay varios pasos que deberías seguir cuanto antes para minimizar daños.
Si solo sospechas, pero aún no has hecho clic en nada ni enviado información, el primer movimiento es bloquear el contacto y evitar cualquier interacción adicional. A partir de ahí, puedes usar las opciones internas de WhatsApp para reportar la conversación; esa información ayuda a la plataforma a identificar campañas masivas y cortar otras cuentas relacionadas.
En el caso de que hayas compartido datos financieros (tarjeta, cuenta bancaria, credenciales de banca online o códigos de operación), ponte en contacto inmediato con tu banco o entidad financiera para que tomen medidas de seguridad. Pueden bloquear la tarjeta, vigilar movimientos sospechosos o cambiar claves de acceso antes de que los delincuentes aprovechen la información robada.
Si crees que han conseguido acceso o control sobre tu cuenta de WhatsApp, intenta recuperar la cuenta con el número de teléfono legítimo, cambia los ajustes de seguridad, activa la verificación en dos pasos y revisa dispositivos vinculados. En paralelo, avisa a tus contactos de que podrían recibir mensajes falsos desde tu cuenta suplantada para que no caigan ellos también.
No olvides la vía legal: presentar denuncia ante la Policía o Guardia Civil ayuda a documentar el delito y a detectar patrones que puedan llevar a los responsables. En España también existe soporte especializado a través de organismos como INCIBE, que ofrece asesoramiento y recursos para víctimas de ciberestafas.
Cuando tengas oportunidad, revisa por qué has caído o casi has caído en la trampa: prisas, exceso de confianza, desconocimiento de las técnicas empleadas… Esa reflexión, unida al uso de las nuevas alertas de WhatsApp, los canales de avisos oficiales y las buenas prácticas diarias, te pondrá en una posición mucho más sólida frente a futuros intentos de fraude.
La realidad es que las estafas en WhatsApp han pasado de ser casos aislados a convertirse en un problema constante, alimentado por redes criminales globales y tecnologías cada vez más avanzadas. Sin embargo, combinar las defensas técnicas que ofrece Meta (IA antifraude, avisos de vinculación, alertas al entrar en grupos sospechosos, bloqueos de cuentas y comunicaciones verificadas de soporte) con una ciudadanía bien informada, espacios públicos de alerta y hábitos prudentes a la hora de responder a mensajes, abrir enlaces o compartir datos, permite seguir utilizando la aplicación con bastante tranquilidad y reducir de forma notable las probabilidades de caer en un engaño.