Te llega un SMS con un código de WhatsApp que no has pedido, alguien te escribe diciendo que se ha equivocado y te pide que se lo reenvíes. Esa secuencia es la estafa del código de verificación de WhatsApp, el método más eficaz para robar cuenta de WhatsApp sin tocar tu móvil. Funciona porque el atacante inicia sesión en tu número desde otro dispositivo, WhatsApp te envía el código por SMS y solo necesita que tú se lo entregues voluntariamente. La verificación WhatsApp fraude explota la confianza: el mensaje suele venir de un contacto conocido cuya cuenta ya ha caído. Aquí explicamos cómo opera el whatsapp secuestro, qué hacer si has picado y cómo blindar tu cuenta antes de que aparezca el próximo SMS sospechoso.
Cómo funciona el secuestro de cuenta paso a paso
El atacante introduce tu número de teléfono en la pantalla de registro de WhatsApp desde su dispositivo. La aplicación, siguiendo el procedimiento normal, envía un código SMS de seis dígitos al número legítimo (el tuyo). Aquí termina la parte técnica y empieza la ingeniería social.
El delincuente contacta contigo, casi siempre desde una cuenta de WhatsApp previamente robada de un amigo o familiar. El guion es siempre parecido: "perdona, te he enviado un código por error, ¿me lo reenvías?". Si lo haces, en treinta segundos pierdes el acceso a tu cuenta y el atacante entra en todos tus chats.
Una vez dentro, el secuestrador hace tres cosas: activa la verificación en dos pasos con un PIN propio para que no puedas recuperar la cuenta fácilmente, lee conversaciones buscando información sensible (códigos bancarios, fotos comprometidas, datos personales) y replica la estafa enviando el mismo mensaje a tus contactos. El ciclo se autoalimenta.
Variantes actuales de la estafa del código SMS
El esquema básico ha mutado. Estas son las versiones que circulan con más fuerza en 2026:
- Falso soporte técnico de WhatsApp: alguien con foto corporativa te avisa de un supuesto bloqueo de cuenta y pide el código para "verificar tu identidad". WhatsApp nunca te pide códigos por chat.
- Premios y sorteos falsos: te anuncian que has ganado un iPhone o una tarjeta regalo y necesitan validar tu número con un código. Es la misma estafa del código SMS reciclada de los antiguos SMS premium.
- Llamada telefónica con voz automatizada: una voz dice ser de WhatsApp y solicita que marques o dictes el código recibido. Esta variante explota el desvío de llamadas para recibir el código por voz cuando el SMS falla.
- Amigo en apuros: la versión clásica, ahora a veces con audio breve clonado por IA imitando la voz del contacto. Si la voz suena rara o el mensaje viene fuera de contexto, sospecha.
- Combo con SIM swapping: en casos avanzados, el atacante duplica tu tarjeta SIM ante la operadora y recibe el código directamente. Aquí ya no necesita engañarte.
Señales de alerta que debes reconocer al instante
Antes de tocar la pantalla, repasa este checklist mental. Si aparece cualquiera de estos patrones, estás ante un intento de fraude de verificación de WhatsApp:
- Recibes un SMS con código de WhatsApp sin haber pedido nada. No has reinstalado la app, no has cambiado de móvil, no has tocado nada. Ese código no debería existir.
- Un contacto te pide el código "porque se ha equivocado". WhatsApp envía los códigos al número de origen, no a contactos aleatorios. La excusa no tiene sentido técnico.
- El mensaje viene con urgencia ("rápido, que caduca", "es para un trámite del banco"). La prisa forzada es una señal clásica de phishing.
- Te llaman desde un número desconocido pidiendo que les dictes números recibidos por SMS.
- WhatsApp te avisa de que tu cuenta se está registrando en otro dispositivo cuando tú no has hecho nada.
Si tienes dudas sobre cómo se camuflan estos engaños en otras plataformas, te servirá repasar las técnicas habituales en phishing en Wallapop y Milanuncios, donde el patrón de "ayúdame con un código" también se utiliza con frecuencia.
Qué hacer si ya has reenviado el código
Has picado. No es el fin del mundo, pero los siguientes diez minutos importan. Actúa en este orden:
- Vuelve a registrar WhatsApp en tu móvil introduciendo tu número. Recibirás un nuevo código SMS y, al introducirlo, expulsarás al atacante de la sesión activa.
- Si el atacante ha activado la verificación en dos pasos con un PIN, WhatsApp te obligará a esperar siete días para recuperar la cuenta sin él. No hay atajo legal. Aprovecha para avisar a tus contactos por otra vía.
- Activa tu propia verificación en dos pasos en cuanto recuperes el acceso: Ajustes → Cuenta → Verificación en dos pasos. Pon un PIN de seis dígitos que recuerdes y un email de recuperación.
- Escribe a support@whatsapp.com con el asunto "Lost/Stolen: Please deactivate my account" y tu número en formato internacional. WhatsApp desactivará la cuenta temporalmente.
- Avisa a tus contactos por otro canal (llamada, Telegram, SMS) de que no hagan caso a mensajes tuyos pidiendo dinero o códigos.
- Denuncia ante la Policía Nacional o Guardia Civil. Puedes hacerlo online en el Grupo de Delitos Telemáticos. Guarda capturas del SMS, del chat con el estafador y de cualquier movimiento bancario sospechoso.
- Comprueba si tu correo o teléfono han aparecido en filtraciones recientes en Have I Been Pwned. Es gratis y te dice si tus credenciales circulan por foros oscuros.
Cómo blindar tu cuenta antes del próximo intento
La prevención cuesta cinco minutos. Aplicar estas medidas reduce mucho el riesgo de whatsapp secuestro:
| Medida | Dónde se activa | Qué evita |
|---|---|---|
| Verificación en dos pasos | Ajustes → Cuenta → Verificación en dos pasos | Que alguien con tu código SMS pueda entrar sin tu PIN |
| Email de recuperación | Mismo menú anterior | Perder la cuenta si olvidas el PIN |
| Passkeys (claves de acceso) | Ajustes → Cuenta → Claves de acceso | Phishing del código SMS, reemplaza el código por biometría |
| Bloqueo de SIM con PIN | Ajustes del móvil → SIM | SIM swapping físico |
| Revisar dispositivos vinculados | Ajustes → Dispositivos vinculados | Sesiones de WhatsApp Web abiertas en ordenadores ajenos |
| Privacidad del número en redes | Perfiles públicos (Facebook, Instagram) | Que un atacante obtenga tu número fácilmente |
Las passkeys son el cambio más relevante de los últimos meses. WhatsApp permite usar la huella o el reconocimiento facial del móvil como segundo factor, eliminando la necesidad del código SMS en muchos casos. Si tu dispositivo lo soporta, actívalas: es la única medida que neutraliza por completo esta estafa.
Para entender cómo encaja todo esto en una estrategia más amplia de seguridad personal, conviene aplicar también los hábitos de limpieza digital de tus dispositivos: menos apps innecesarias, menos puertas abiertas. Si tienes hijos con móvil, revisa además los consejos sobre privacidad de los niños en internet, porque suelen ser objetivo prioritario de estos engaños.
Marco legal y dónde denunciar en España
El secuestro de cuenta de WhatsApp encaja en varios tipos penales del Código Penal español: estafa informática (artículo 248), descubrimiento y revelación de secretos (artículo 197, cuando se accede a comunicaciones privadas sin consentimiento) y usurpación de estado civil o suplantación de identidad. Las penas de la estafa básica van de seis meses a tres años de prisión, pudiendo llegar hasta seis años cuando concurren circunstancias agravantes como perjuicio económico grave o víctimas múltiples.
Puedes denunciar ante:
- Grupo de Delitos Telemáticos de la Guardia Civil (gdt.guardiacivil.es)
- Brigada Central de Investigación Tecnológica de la Policía Nacional
- INCIBE a través de su línea 017, gratuita y confidencial
- Agencia Española de Protección de Datos si tus datos personales se han usado indebidamente, conforme al RGPD y la LOPDGDD
Empresas como las que ofrecen soluciones de inteligencia artificial para empresas ya integran detección automática de patrones de phishing por SMS, una capa adicional útil para entornos corporativos donde un secuestro de cuenta puede comprometer comunicaciones con clientes.
Preguntas frecuentes
¿WhatsApp puede recuperar mi cuenta si me la han robado?
Sí, escribiendo a support@whatsapp.com con tu número en formato internacional y asunto "Lost/Stolen". Desactivarán la cuenta en horas. Si el atacante puso PIN, tendrás que esperar siete días para recuperarla sin él.
¿Es seguro tener WhatsApp Web abierto en el ordenador del trabajo?
Solo si controlas físicamente ese equipo. Revisa periódicamente la lista de dispositivos vinculados desde tu móvil y cierra cualquier sesión que no reconozcas. Las sesiones de WhatsApp Web son una vía habitual de espionaje doméstico y laboral.
¿La verificación en dos pasos es lo mismo que el código SMS?
No. El código SMS es el primer factor y se envía cada vez que registras la app. La verificación en dos pasos es un PIN adicional de seis dígitos que tú eliges y que WhatsApp pide ocasionalmente. Sin ese PIN, nadie puede activar tu cuenta aunque tenga el SMS.
¿Pueden robarme la cuenta sin que yo haga nada?
Es difícil pero posible mediante SIM swapping, donde el atacante consigue un duplicado de tu tarjeta SIM en la operadora suplantando tu identidad. Por eso conviene poner contraseña verbal en tu operadora y activar passkeys en WhatsApp.
¿Sirve de algo bloquear al estafador?
Sí, pero limitadamente. Bloquearlo impide que te siga escribiendo desde ese número, pero no recupera la cuenta del contacto original. Avisar a esa persona por otra vía y reportar el número a WhatsApp es más útil.
El siguiente paso
Abre WhatsApp ahora, ve a Ajustes → Cuenta → Verificación en dos pasos y activa un PIN de seis dígitos con email de recuperación. Tarda menos de un minuto y deja sin efecto la estafa más común del momento.
