El Instituto Nacional de Ciberseguridad (Incibe) haalertado este viernes del aumento de técnicas de ingeniería social orientadas a obtener de forma fraudulenta el código de doble verificación de WhatsApp y transferir la aplicación a un dispositivo controlado por el atacante, que pasa a tener acceso a conversaciones y archivos sin que el legítimo dueño pierda el control de la cuenta.
El fraude arranca con un mensaje enviado desde la cuenta de un contacto previamente comprometido, que contiene un enlace con pretextos del tipo «¿eres tú el de esta foto?» o «mira esta foto en la que te he etiquetado». Al pulsarlo, la víctima accede a una página que imita a servicios de Meta como Facebook o Instagram y, tras introducir su número de teléfono, completa el emparejamiento de la cuenta a otro dispositivo, igual que al vincular WhatsApp Web o la versión de escritorio.
Una vez vinculado, el ciberdelincuente puede leer las conversaciones, enviar mensajes suplantando la identidad de la víctima y propagar el fraude a nuevos contactos. El acceso se mantiene mientras no se desvinculen los dispositivos asociados.
Como medidas preventivas, Incibe recomienda no abrir enlaces sospechosos, verificar su autenticidad por otro canal con el contacto que los envía, activar el doble factor de verificación en WhatsApp y no compartir el código ni datos personales o bancarios con terceros. En caso de haber sido víctima, aconseja desvincular los dispositivos fraudulentos, cambiar las contraseñas que hayan podido quedar expuestas y denunciar ante las fuerzas de seguridad si se ha producido suplantación de identidad.