Las estafas de WhatsApp se han convertido en el canal favorito de los ciberdelincuentes para vaciar cuentas bancarias, robar identidades y distribuir malware. Si usas WhatsApp —y lo usas, porque lo usan más de 2.000 millones de personas—, eres un objetivo. El fraude por WhatsApp ya no se limita al clásico "mamá, he cambiado de número". En 2026, los timos de WhatsApp utilizan inteligencia artificial para clonar voces, generar imágenes falsas y crear conversaciones que parecen reales. Los mensajes falsos de WhatsApp llegan con enlaces perfectamente maquetados, y el phishing por WhatsApp ha superado al email como vector de ataque en dispositivos móviles según varios informes del sector.
Vamos a desmontar las estafas más frecuentes, cómo funcionan por dentro y qué puedes hacer para no picar. Sin paternalismos. Con ejemplos reales.
Las 6 estafas de WhatsApp más extendidas en 2026
Los atacantes reciclan patrones que funcionan y los adaptan al contexto actual. Estas son las variantes que más víctimas están generando.
1. El falso familiar: "Mamá, este es mi nuevo número"
El clásico que no muere. Recibes un mensaje desde un número desconocido: alguien se hace pasar por tu hijo, tu pareja o un familiar cercano. Dice que ha perdido el teléfono o que ha cambiado de número. La conversación empieza con algo inocente y en menos de diez mensajes te pide una transferencia urgente.
La variante 2026: los estafadores usan IA generativa para clonar la voz del supuesto familiar a partir de audios públicos en redes sociales. Te envían una nota de voz que suena idéntica. La Policía Nacional ha alertado varias veces sobre esta evolución del timo por WhatsApp.
Señales de alerta:
- Número nuevo sin explicación verificable
- Urgencia extrema: "necesito que hagas una transferencia ahora"
- Evitan llamadas de vídeo (la voz clonada no aguanta una conversación en tiempo real)
- Piden Bizum, transferencia inmediata o criptomonedas
2. Phishing bancario: el SMS + WhatsApp combo
Recibes un SMS que simula ser de tu banco con un enlace acortado. Al hacer clic, aterrizas en una web clonada que te pide credenciales. Pero la novedad es que ahora el atacante te contacta también por WhatsApp haciéndose pasar por el "departamento de seguridad" del banco, para guiarte en tiempo real mientras introduces tus datos en la web falsa.
Este doble canal —SMS más phishing por WhatsApp— genera una falsa sensación de legitimidad. Si ya has caído en un phishing alguna vez, sabrás que la velocidad de reacción marca la diferencia entre perder 50 € y perder 5.000 €.
3. Ofertas de trabajo falsas y estafas de tareas
Te escriben desde un número con prefijo extranjero (frecuentemente +91, +234 o +62) ofreciéndote un "trabajo online" que consiste en dar likes a vídeos de YouTube, valorar productos en Amazon o completar tareas simples. Al principio te pagan pequeñas cantidades reales. Cuando confías, te piden que "inviertas" para desbloquear tareas mejor pagadas. El dinero desaparece.
Según el Instituto Nacional de Ciberseguridad (INCIBE), este tipo de fraude por WhatsApp fue una de las consultas más frecuentes en su línea de atención 017 durante 2025.
4. El código de verificación robado
Alguien te escribe: "perdona, te he enviado un código de 6 dígitos por error, ¿me lo puedes reenviar?". Ese código es el de verificación de tu propia cuenta de WhatsApp. Si lo compartes, pierdes el acceso a tu cuenta y el atacante la usa para estafar a tus contactos.
Regla de oro: el código de verificación de WhatsApp no se comparte jamás. Con nadie. Bajo ninguna circunstancia.
5. Sorteos, cupones y premios que no existen
Mensajes reenviados con enlaces a supuestos sorteos de Mercadona, Amazon, Shein o Zara. "Has ganado un vale de 500 €, reclámalo aquí". El enlace lleva a una página que recopila tus datos personales o instala malware en tu dispositivo. Si te interesa entender cómo funciona el malware potenciado con IA, el panorama es bastante más sofisticado de lo que parece.
Estas campañas de mensajes falsos de WhatsApp se propagan viralmente porque la propia mecánica pide que reenvíes el mensaje a 10 contactos para "validar" el premio.
6. Sextorsión y chantaje con IA
Un contacto desconocido inicia conversación, sube el tono progresivamente y solicita fotos íntimas. Alternativa: directamente te envían una imagen generada por IA que simula ser tuya en una situación comprometida. En ambos casos, el siguiente paso es la extorsión económica.
En España, el Código Penal tipifica la sextorsión en los artículos 197 y 243. Denuncia siempre, no pagues.
Cómo detectar un mensaje fraudulento en 30 segundos
No necesitas ser analista de ciberseguridad. Aplica este checklist rápido ante cualquier mensaje sospechoso:
| Señal | Qué indica |
|---|---|
| Número desconocido con prefijo internacional | Probable campaña masiva automatizada |
| Errores gramaticales sutiles o traducciones raras | Texto generado por IA o traducido automáticamente |
| Enlace acortado (bit.ly, tinyurl, etc.) | Oculta el destino real — no hagas clic |
| Urgencia: "tienes 24 horas" o "tu cuenta será bloqueada" | Ingeniería social clásica para anular tu pensamiento crítico |
| Te piden dinero, códigos o datos personales | Ninguna empresa legítima hace esto por WhatsApp |
| Prometen dinero fácil o premios | Si es demasiado bueno, ya sabes |
Antes de interactuar con cualquier enlace sospechoso, pégalo en VirusTotal (virustotal.com). En segundos te dice si está catalogado como malicioso por algún motor de detección. También puedes consultar URLhaus de abuse.ch para verificar URLs reportadas como distribuidoras de malware.
Protege tu cuenta de WhatsApp: configuración defensiva
Estas medidas no te hacen inmune, pero reducen drásticamente la superficie de ataque.
- Activa la verificación en dos pasos: WhatsApp → Ajustes → Cuenta → Verificación en dos pasos. Configura un PIN de 6 dígitos. Esto impide que alguien registre tu número en otro dispositivo aunque tenga el código SMS.
- Activa las passkeys: desde 2024, WhatsApp permite usar autenticación biométrica como método adicional. Úsalo. Si quieres ir un paso más allá, las llaves de seguridad tipo YubiKey ofrecen una capa extra en los servicios que las soportan.
- Foto de perfil solo para contactos: Ajustes → Privacidad → Foto de perfil → "Mis contactos". Los estafadores usan tu foto para crear perfiles falsos que suplanten tu identidad.
- Desactiva la descarga automática de medios: evita que archivos maliciosos se descarguen sin tu consentimiento.
- Bloquea y reporta inmediatamente: no respondas a estafadores. Bloquea el número y usa la función "Reportar" de WhatsApp. Cada reporte ayuda a Meta a cerrar cuentas fraudulentas.
Si además tienes menores en casa que usan WhatsApp, revisa las opciones de privacidad para niños en internet y los controles parentales disponibles.
Qué hacer si ya has sido víctima
Has picado. No te flageles, le pasa a profesionales de la seguridad informática. Lo que hagas en los próximos 30 minutos marca la diferencia.
- Si compartiste datos bancarios: llama a tu banco inmediatamente. Bloquea tarjetas y cuentas afectadas. La mayoría de entidades tienen línea 24h para fraudes.
- Si te robaron la cuenta de WhatsApp: reinstala la app e intenta verificar tu número. WhatsApp enviará un nuevo código SMS. Si el atacante activó la verificación en dos pasos, tendrás que esperar 7 días. Avisa a tus contactos por otro canal.
- Denuncia: Policía Nacional (denuncias.policia.es), Guardia Civil (Grupo de Delitos Telemáticos) o INCIBE (línea 017, gratuita). Guarda capturas de pantalla de toda la conversación.
- Cambia contraseñas: si usaste la misma contraseña del email o del banco en otros servicios —esperemos que no—, cámbiala en todos. Aquí tienes los pasos exactos para cuando te hackean una cuenta.
- Verifica filtraciones: comprueba en Have I Been Pwned (haveibeenpwned.com) si tu email o teléfono aparecen en alguna brecha de datos conocida.
Preguntas frecuentes
¿Puede WhatsApp tener virus o malware?
WhatsApp como app es segura si la descargas desde la tienda oficial (Google Play o App Store). El riesgo real son los enlaces y archivos que recibes dentro de las conversaciones. Un PDF o APK enviado por un contacto comprometido puede contener malware. Mantén tu sistema operativo actualizado y no instales APKs de fuentes desconocidas.
¿La policía puede rastrear estafas de WhatsApp?
Sí, aunque con limitaciones. Las Fuerzas y Cuerpos de Seguridad del Estado pueden solicitar datos a Meta mediante requerimiento judicial. El cifrado extremo a extremo protege el contenido de los mensajes, pero los metadatos (números de teléfono, IPs, fechas de conexión) sí son accesibles. Por eso es fundamental denunciar: cada denuncia suma datos para las investigaciones.
¿WhatsApp Business también es usado para estafas?
Sí, y con frecuencia. Los estafadores crean perfiles de WhatsApp Business que imitan a empresas reales —con logo, descripción y catálogo—. La marca de verificación verde (cuenta verificada por Meta) es el único indicador fiable. Si una "empresa" te contacta por WhatsApp Business sin esa marca, desconfía por defecto.
¿Qué diferencia hay entre phishing por email y por WhatsApp?
El mecanismo es el mismo: engañarte para que entregues datos o hagas clic en un enlace malicioso. La diferencia es el contexto. WhatsApp se percibe como un canal personal y de confianza, lo que baja las defensas del receptor. Además, en móvil es más difícil verificar URLs antes de hacer clic. Si te interesa el phishing por email, tenemos una guía completa sobre cómo detectar facturas falsas que aplica la misma lógica.
¿Sirve de algo bloquear y reportar números en WhatsApp?
Bloquear te protege a ti. Reportar ayuda a Meta a detectar y suspender cuentas fraudulentas a escala. No esperes resultados inmediatos —los estafadores cambian de número constantemente—, pero el sistema de detección automatizada de Meta mejora con cada reporte. Hazlo siempre.
El siguiente paso
Abre WhatsApp ahora mismo, ve a Ajustes → Cuenta → Verificación en dos pasos y activa el PIN de 6 dígitos. Tarda 30 segundos y bloquea el robo de cuenta, que es la puerta de entrada a la mayoría de estafas de WhatsApp. Si ya lo tienes activado, reenvía este artículo a ese familiar que todavía cree que los cupones de Mercadona por WhatsApp son reales. Todos tenemos uno.
