En los últimos meses se ha popularizado una estafa que aprovecha el buzón de voz para secuestrar cuentas de WhatsApp sin que la víctima haga clic en enlaces o instale nada. Los atacantes fuerzan el envío del código de verificación por llamada, dejan que salte el buzón y se hacen con ese audio. Con ese movimiento ya están dentro.
Este método combina ingeniería social y configuraciones débiles del buzón de voz. Muchos usuarios no cambian el PIN por defecto (0000, 1234, 1111) o ni siquiera saben que pueden acceder al buzón de forma remota, lo que abre una puerta silenciosa a suplantaciones, chantajes y fraudes a sus contactos.
¿Qué está pasando y por qué ahora?
El auge de esta táctica viene de aprovechar un descuidado muy común: buzones activados por defecto y sin PIN robusto. Cuando alguien intenta registrar tu número en otro teléfono, WhatsApp envía un código por SMS o llamada. Si no atiendes, la llamada puede quedar grabada en tu buzón.
En paralelo, se observa un incremento de intentos de robo de cuentas sin interacción de la víctima. Los delincuentes repiten el proceso hasta que el código queda almacenado como mensaje de voz y después recuperan ese audio accediendo al buzón a distancia.
Caso real atendido por el 017 de INCIBE
Un caso reciente gestionado por el servicio Tu Ayuda en Ciberseguridad (017) ilustra el modus operandi: una mujer adulta perdió el control de su cuenta tras recibir llamadas de números extranjeros (Alemania e Inglaterra) que no contestó. Poco después, encontró en su buzón un audio con el código de verificación de WhatsApp y otra llamada perdida registrada en el mismo buzón.
La víctima sospechaba que su número pudo salir de la lista de contactos de un amigo afectado el día anterior. Tras consultar, todo apuntaba a que habían utilizado el buzón de voz para obtener el código, escuchando el mensaje de manera remota mediante el PIN del buzón.
Desde INCIBE se le trasladaron pautas claras: avisar a sus contactos para cortar el efecto dominó; escribir a support@whatsapp.com explicando el incidente; si no había respuesta, contactar con el delegado de protección de datos de WhatsApp; si en un mes no obtenía solución o la respuesta era negativa, reclamar ante la AEPD.
También se recomendó reunir todas las pruebas (capturas, correos, mensajes), denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado incluyendo la suplantación y el posible fraude a terceros, y cambiar el PIN del buzón de voz o desactivarlo. Ante intentos de contacto del atacante, no ceder a chantajes y cortar la comunicación.
Como recordatorio útil, el servicio 017 de INCIBE está disponible todos los días de 08:00 a 23:00 para dudas y asistencia en ciberseguridad.
Cómo funciona el fraude del buzón de voz
Los estafadores intentan registrar tu número en un dispositivo distinto y fuerzan el envío del código mediante llamada de voz. Si no contestas, la llamada termina en tu buzón y el mensaje con el código queda grabado.
El siguiente paso consiste en acceder de forma remota al buzón de voz. Las operadoras permiten oír los mensajes desde otro teléfono con un PIN de cuatro dígitos. Si ese PIN es el predeterminado o muy débil, el atacante puede acertarlo y escuchar el audio.
Muchas operadoras permiten escuchar el buzón desde el propio número sin pedir PIN, pero si se llama desde otra línea sí lo solicitan. Además, algunas limitan a tres los intentos por llamada, lo que no impide intentarlo repetidamente hasta acertar combinaciones comunes como 0000, 1234 o 1111.
Un truco frecuente es disparar el proceso en horarios en los que sueles estar dormido, sin cobertura o en otra llamada, para incrementar la probabilidad de que salte el buzón y el audio quede guardado con el código de verificación.
Qué hacen después de robar tu cuenta
Una vez consiguen el código, registran la cuenta en su teléfono y cierran tu sesión automáticamente. Desde ese momento, se hacen pasar por ti para hablar con tus contactos y grupos.
Las maniobras más habituales son pedir transferencias urgentes de dinero, compartir enlaces maliciosos o utilizar tus fotos y conversaciones privadas para intentar chantajear. La confianza que has construido con tus contactos juega a su favor.
Otras trampas para capturar el código de verificación
El buzón de voz no es la única vía. Sigue siendo común el mensaje de engaño del tipo: «Hola, lo siento. Te envié por error un código de 6 dígitos. ¿Me lo pasas?». Si lo facilitas, regalas el acceso a tu cuenta.
Existen también escenarios como el duplicado de SIM, apps maliciosas que leen SMS, o la vista previa de mensajes en pantalla bloqueada. Pero el hilo conductor es idéntico: el atacante necesita ese código de 6 dígitos para completar el registro en otro dispositivo.
Señales de que te han quitado la cuenta
Hay indicios que saltan a la vista. El más claro: WhatsApp te avisa de que tu número se ha registrado en otro dispositivo y te expulsa de tu sesión sin que hayas hecho nada.
También puedes notar mensajes que tú no has enviado, comentarios de contactos extrañados por peticiones raras o accesos abiertos en WhatsApp Web/Escritorio que no reconoces. Cualquier comportamiento anómalo debe ponerte en alerta.
Qué hacer si ya te han robado la cuenta
Actúa rápido. Lo prioritario es registrar de nuevo tu cuenta con tu número. Al introducir el nuevo código de 6 dígitos, la sesión del intruso se cierra automáticamente en su dispositivo.
Si el atacante ha activado la verificación en dos pasos y no tienes ese PIN, puede que debas esperar hasta siete días para recuperar el acceso sin él. Durante ese periodo, no podrás completar el registro, y tendrás que intentarlo de nuevo más adelante.
Si has perdido el móvil, llama a tu operadora para bloquear la tarjeta SIM. Evitarás que el atacante reciba códigos o que complete procesos de verificación con tu línea.
Abre WhatsApp en cuanto puedas y revisa qué sesiones de WhatsApp Web y Escritorio están activas. Cierra cualquier sesión que no identifiques para cortar posibles accesos paralelos.
Informa cuanto antes a tus contactos de que han usurpado tu identidad. Así evitarás que caigan en solicitudes de dinero o links maliciosos enviados desde tu cuenta.
Escribe a support@whatsapp.com explicando lo sucedido y solicitando ayuda. Si no obtienes respuesta en un plazo razonable, contacta con el delegado de protección de datos de WhatsApp.
Si tras un mes no recibes solución o la respuesta es insatisfactoria, presenta una reclamación ante la Agencia Española de Protección de Datos (AEPD) para exigir atención a tus derechos.
Reúne todas las evidencias (capturas, correos, mensajes de tus contactos) y denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Pide que conste la suplantación y los posibles fraudes a terceros cometidos con tu identidad.
Si el atacante te escribe, no cedas a chantajes ni realices pagos. Corta la comunicación y remite cualquier intento de extorsión a las autoridades.
Cómo blindarte para que no te pase
Activa ya la verificación en dos pasos de WhatsApp. Entra en Ajustes > Cuenta > Verificación en dos pasos y define un PIN propio. Así, aunque alguien obtenga el código de 6 dígitos, no podrá culminar el registro en otro dispositivo sin ese PIN adicional.
Revisa la seguridad de tu buzón de voz. Si no lo usas, solicita a tu operadora que lo desactive. Si lo necesitas, establece un PIN robusto que no sea ninguna combinación obvia ni datos personales fáciles de adivinar.
No compartas jamás el código de verificación de 6 dígitos. Nadie legítimo debe pedírtelo. Si recibes un mensaje “urgente” de un conocido pidiéndote ese código, llama a esa persona para verificar la situación antes de hacer nada.
Refuerza la privacidad de tu perfil: en Ajustes > Privacidad, configura quién puede ver tu foto de perfil solo en “Mis contactos”. Eso limita la información que expones a desconocidos y reduce opciones de suplantación.
Desconfía de cualquier mensaje que solicite dinero o datos sensibles con urgencia. La prisa es el mejor aliado de los estafadores; una llamada de verificación corta cualquier intento malicioso.
Lo que debes saber del buzón de voz (y una nota sobre Telegram)
El buzón de voz suele venir activo por defecto y en muchos casos con PIN genérico que jamás se cambió. Acceder desde tu propia línea puede no pedir PIN, pero desde otra línea lo solicitará, lo que no sirve de freno si mantienes un código débil.
Algunas operadoras limitan a tres intentos por llamada, pero nada impide repetir llamadas y probar variantes comunes. Por eso, la recomendación es cambiar el PIN por otro difícil de adivinar o, mejor aún, desactivar el buzón si no lo necesitas.
En comparación, hay servicios que no dejan su código de verificación en el buzón de voz. Es el caso de Telegram, que no utiliza el buzón como canal para transmitir el código en diferido. Reducir esa superficie de ataque evita que un PIN débil facilite la intrusión.
Buenas prácticas para detectar y frenar a tiempo
Configura alertas mentales: si ves un aviso de WhatsApp indicando un registro en otro dispositivo, toma medidas al instante. Cuanto menos tiempo esté en manos ajenas tu cuenta, menos daños podrán causar.
Antes de viajar o en periodos con cobertura limitada o el móvil apagado, valora desactivar el buzón o reforzar su PIN. Son momentos de mayor exposición a que salte el buzón y quede grabado el código.
Si has sufrido algún intento o un contacto cercano ha sido víctima, anticipa el “efecto contagio”. Los atacantes explotan listas de contactos para encadenar más robos y fraudes a personas de confianza.
Checklist informativo para usuarios exigentes
Para formarte criterio y evitar caer en desinformación, conviene valorar la calidad de lo que lees. Estos puntos te pueden orientar al elegir fuentes y guías sobre seguridad:
- Diseño claro que no oculte información esencial.
- Navegación dentro del sitio sencilla para encontrar pasos y recursos.
- Claridad y precisión de la información con fuentes verificables.
- Organización de los contenidos lógica y orientada a la acción.
- Lenguaje utilizado comprensible y directo, sin alarmismo.
Recursos y vías de ayuda
Si sospechas de un robo o necesitas guía, el 017 de INCIBE ofrece asesoramiento todos los días de 08:00 a 23:00. No esperes a tener certezas absolutas: consultar temprano puede ahorrarte muchos problemas.
Para soporte específico de la plataforma, escribe a support@whatsapp.com aportando datos relevantes (número afectado, capturas de error y cualquier indicio de suplantación). Si la resolución se atasca, dirígete al delegado de protección de datos de WhatsApp y, como última instancia tras un mes sin solución, acude a la AEPD.
Con todo lo anterior, se entiende mejor el riesgo real: el robo de cuentas por buzón de voz es silencioso, rápido y muy rentable para los atacantes, pero también muy evitable con ajustes básicos y reflejos a tiempo; activar la verificación en dos pasos, blindar o desactivar el buzón y no compartir códigos son medidas que, junto a una reacción ágil, marcan la diferencia entre un susto y un problema mayor. Comparte la información y más personas evitaran ser victimas de estafas en WhatsApp desde el buzón de voz.