Estafa por videollamada de WhatsApp: cómo funciona y cómo protegerte

En los últimos tiempos se ha disparado un fraude muy sofisticado que usa las videollamadas de WhatsApp como gancho para robar cuentas, vaciar cuentas bancarias y pedir dinero a contactos de la víctima. Aunque WhatsApp ha reforzado bastante la privacidad, los ciberdelincuentes se apoyan en la ingeniería social y en la confianza para colarse por la puerta grande en nuestros móviles.

Este engaño es especialmente peligroso porque suele empezar con una llamada de alguien que parece de fiar: un supuesto técnico del banco, el soporte de Meta o, aún peor, un amigo o familiar cuyo número ya ha sido hackeado. A partir de ahí, la excusa para que compartas pantalla durante una videollamada es tan simple como efectiva, y en cuanto caes en la trampa pierdes el control de tu cuenta de WhatsApp y, con frecuencia, de tu dinero.

Qué es la estafa de la videollamada de WhatsApp y por qué preocupa tanto

Este timo se basa en una videollamada a través de WhatsApp en la que te piden compartir la pantalla con cualquier excusa: un problema técnico, un fallo de cámara o una supuesta gestión urgente. Una vez ven lo que aparece en tu móvil, pueden capturar códigos de verificación, contraseñas, mensajes y datos bancarios.

Lo inquietante es que no siempre se trata de números extraños o internacionales. En muchos casos, quien llama es un contacto real cuya cuenta de WhatsApp ya ha sido robada previamente. Eso genera una confianza enorme: ves su nombre y su foto, crees que es esa persona y bajas la guardia sin pensártelo demasiado.

Las autoridades y empresas de ciberseguridad como ESET o el Instituto Nacional de Ciberseguridad (INCIBE) han lanzado avisos formales, porque esta modalidad no solo sirve para hacerse con la cuenta de WhatsApp, sino también para extender la estafa en cadena a decenas de contactos, muchos de ellos familiares y amigos.

Según datos recientes, Meta ha llegado a eliminar millones de cuentas de WhatsApp relacionadas con actividades fraudulentas, incluidos centros organizados de engaño. Esto da una idea de la magnitud del problema y de hasta qué punto se ha profesionalizado este tipo de delincuencia.

Cómo funciona la estafa de la videollamada paso a paso

Aunque hay pequeñas variaciones, el engaño suele seguir un esquema muy similar en casi todos los casos. Los delincuentes combinan una videollamada, un problema urgente y la opción de compartir pantalla para hacerse con el control del dispositivo y de la cuenta de la víctima.

1. Primera llamada: videollamada sospechosa

Todo arranca con una videollamada de WhatsApp que llega de repente. Puede venir de un número desconocido o, lo que es peor, del número de un contacto de confianza que ya ha sido suplantado. El atacante se presenta como:

• Empleado de un banco que llama por un cargo raro o una operación sospechosa.
• Soporte técnico de Meta o de WhatsApp que dice detectar un fallo de seguridad o un error de cámara.
• Familiar o amigo con un problema urgente, que necesita ayuda inmediata y apela a tu buena voluntad.

En muchos casos, el atacante apaga la cámara o muestra una imagen totalmente negra o borrosa. La excusa típica es que la cámara no funciona, que está en un sitio con poca luz o que está “toqueteando ajustes” del móvil y por eso no se ve bien.

2. Creación del problema urgente

El siguiente paso consiste en generar prisa y preocupación en la víctima. El estafador introduce un supuesto problema que requiere una acción inmediata, sin tiempo para pensar con calma:

• Un cargo no autorizado en la tarjeta o en la cuenta bancaria.
• Un intento de acceso extraño a la cuenta de WhatsApp o a la banca online.
• Un premio pendiente de confirmar que está a punto de caducar.
• La posible suspensión del servicio de WhatsApp o del propio banco si no se hace algo “ya”.

Con ese clima de nervios y prisas, el ciberdelincuente insiste en que está ahí para “ayudarte a resolverlo en un momento”, y que solo hace falta seguir unos pasos sencillos desde el móvil.

3. Petición de compartir pantalla (y a veces apps de acceso remoto)

La clave del engaño es conseguir que la víctima active la función de compartir pantalla en la videollamada. En WhatsApp, esta opción permite mostrar en directo todo lo que ocurre en el móvil: notificaciones, mensajes, códigos, apps, etc.

En algunas variantes más avanzadas, el estafador guía a la víctima para instalar aplicaciones de control remoto como AnyDesk o TeamViewer. Ofrecen excusas del tipo “así podré ayudarte mejor desde aquí” o “es la herramienta oficial de soporte”. Si se concede ese acceso remoto, el criminal puede manejar el teléfono prácticamente como si lo tuviera en la mano.

En cualquier caso, tanto con pantalla compartida como con apps remotas, el resultado es el mismo: el atacante ve en tiempo real todo lo que sale en tu móvil, incluidos SMS, notificaciones emergentes de WhatsApp, correos y datos bancarios.

4. Robo del código de verificación de WhatsApp

Mientras la víctima tiene la pantalla compartida, el delincuente intenta registrar la cuenta de WhatsApp en otro dispositivo. Para ello, solicita a WhatsApp el envío de un SMS con el famoso código de verificación de seis dígitos.

Ese SMS llega al móvil de la víctima y, como la pantalla está siendo compartida, el contenido del mensaje aparece a la vista del atacante. A veces ni siquiera hace falta que la persona abra el mensaje: basta con que el aviso emergente muestre el código en la parte superior.

En otros casos, el estafador pide directamente a la víctima que le lea el código o que lo reenvíe “para confirmar la identidad”, asegurando que es un trámite rutinario del banco o del soporte técnico. Si la víctima está nerviosa y confía, se lo da sin pensar.

Una vez el delincuente introduce ese código en su propio dispositivo, se hace con el control de la cuenta de WhatsApp. Automáticamente se cierra la sesión en el móvil original, y la víctima se queda fuera sin saber muy bien qué ha pasado.

5. Acceso a datos, cuentas y robo de dinero

Con la pantalla compartida o con una app de acceso remoto, el atacante suele ir más allá de WhatsApp. Si la víctima lo permite, le puede pedir:

• Abrir la app del banco o el homebanking para “comprobar movimientos sospechosos”.
• Introducir contraseñas o PIN de seguridad, que quedan registrados.
• Confirmar operaciones de Bizum, transferencias u otros pagos bajo engaño.

En algunos incidentes avanzados se ha detectado la instalación de malware tipo keylogger (registradores de pulsaciones), que permiten a los atacantes seguir robando datos incluso después de la llamada.

Con toda esa información, pueden vaciar cuentas, mover dinero a otras cuentas o monederos y, por supuesto, utilizar la cuenta de WhatsApp robada para seguir ampliando la red de víctimas.

Qué hacen los delincuentes cuando ya han robado tu WhatsApp

Una vez tienen el control de la cuenta, los ciberdelincuentes no se limitan a curiosear tus chats. En cuestión de minutos, empiezan a explotar tu identidad y tus contactos para sacar dinero y seguir propagando el fraude.

Uso de tu identidad para pedir dinero (Bizum y transferencias)

Una de las tácticas más habituales consiste en enviar mensajes a tus contactos haciéndose pasar por ti. El mensaje típico suele apelar a la urgencia y la confianza: “Oye, ¿me puedes hacer un Bizum rápido? Estoy con un problema y luego te lo devuelvo”, o variantes similares.

También se han visto casos en los que, desde la cuenta robada, el estafador pide a los contactos que reenvíen un código SMS que acaban de recibir, asegurando que es por error o por un trámite. Con ese código, pueden repetir el proceso y secuestrar más cuentas.

El efecto es devastador, porque tus amigos y familiares no sospechan de alguien con quien hablan a diario. Ven tu nombre y tu foto, confían y, en muchos casos, acaban enviando dinero o facilitando nuevos datos sensibles.

Cadena de videollamadas fraudulentas

En algunos fraudes detectados por INCIBE, el patrón se repite en modo “bola de nieve”: el atacante, ya dentro de tu cuenta, empieza a hacer videollamadas a tus contactos utilizando la misma excusa de los problemas técnicos o de la ayuda urgente.

Quien recibe la llamada piensa que eres tú, por lo que es muy probable que acepte compartir pantalla o dar datos. Así se crea una cadena de víctimas: primero te roban a ti, luego a tus contactos, y a partir de ahí el alcance puede ser enorme.

Cambio de parámetros de seguridad y bloqueo del dueño legítimo

Cuando los delincuentes se hacen con la cuenta, uno de sus primeros movimientos es reforzar la seguridad… para ellos. Pueden:

• Modificar el correo asociado a la recuperación de cuenta.
• Activar la verificación en dos pasos con un PIN que solo ellos conocen.
• Cambiar ajustes de privacidad para dificultar que otros sospechen.

De esta forma, aunque la víctima intente recuperar el acceso, se encuentra con un muro adicional: necesita un PIN que nunca configuró, porque lo han puesto los atacantes para ganar tiempo y seguir cometiendo fraudes.

Casos reales y pérdidas económicas importantes

Este tipo de estafa no es teoría. Se han documentado casos reales en distintos países con pérdidas significativas. Por ejemplo, en foros como Reddit se recoge el caso de una mujer en Brasil que perdió unos 3.000 reales después de ayudar, supuestamente, a una amiga con un problema de compra online. La amiga ya había sido hackeada antes, y su identidad se usó para engañarla a través de una videollamada con pantalla compartida.

En Hong Kong se reportó un caso todavía más grave, con pérdidas superiores a los cinco millones de dólares. El atacante se hizo pasar por personal de una empresa de telecomunicaciones que ofrecía ayuda para cancelar un servicio. Durante la videollamada, la víctima compartió pantalla, abrió sus cuentas bancarias y facilitó contraseñas y códigos de verificación que terminaron en manos de los delincuentes.

Estos ejemplos ilustran hasta qué punto la combinación de ingeniería social y videollamadas puede ser devastadora, tanto para el bolsillo como para la privacidad.

Alertas y recomendaciones de Policía, INCIBE y expertos en ciberseguridad

Ante el incremento de casos, distintas instituciones oficiales y empresas de seguridad han publicado advertencias muy claras sobre esta modalidad de fraude y han explicado cómo reconocerla y evitarla.

La advertencia de la Policía Nacional

La Policía Nacional, a través de su cuenta oficial en TikTok, ha explicado de forma sencilla el modus operandi de estos estafadores. Subrayan que los criminales se hacen pasar por el soporte técnico de WhatsApp, alegan que la cámara no funciona bien y piden al usuario que pulse el botón de compartir pantalla para “arreglarlo”.

La recomendación es tajante: WhatsApp no contacta a los usuarios por videollamada para resolver problemas técnicos ni solicita que compartan pantalla o den códigos de verificación. Cualquier llamada que diga lo contrario es sospechosa y debe colgarse de inmediato.

Comunicados y guía del INCIBE

El Instituto Nacional de Ciberseguridad ha detectado múltiples incidentes de este tipo a través del teléfono de ayuda 017. En uno de los casos relatados, un usuario perdió el acceso a su WhatsApp tras una videollamada en la que solo se veía una pantalla en negro. Después de compartir la suya, apareció el SMS de verificación y el atacante tomó el control de la cuenta.

INCIBE detalla los pasos para reaccionar: avisar rápido a los contactos, intentar reinstalar WhatsApp y recuperar el acceso, contactar con el soporte de la aplicación e incluso, si la cosa se alarga, acudir al Delegado de Protección de Datos de WhatsApp y, en última instancia, a la Agencia Española de Protección de Datos.

El organismo también insiste en reunir todas las evidencias posibles (mensajes, capturas de pantalla, movimientos bancarios) y presentar denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, ya que se trata de un claro delito de suplantación de identidad y, en muchos casos, de estafa económica.

Consejos esenciales de ESET y otros expertos

Compañías especializadas como ESET resaltan varios puntos clave que cualquier usuario debería tener grabados a fuego para reducir el riesgo de caer en la trampa.

• No compartas pantalla con desconocidos ni con supuestos técnicos que llamen de improviso.
• No facilites códigos ni contraseñas por teléfono, videollamada o mensajería.
• Desconfía de cualquier situación que genere pánico o prisa para tomar decisiones.
• Verifica las alertas bancarias o técnicas contactando directamente con la entidad por sus canales oficiales.
• Activa la verificación en dos pasos en WhatsApp para poner una barrera adicional a los atacantes.

Cómo evitar caer en la estafa: pautas prácticas

La mejor defensa contra este tipo de engaños es combinar sentido común, desconfianza sana y algunas medidas técnicas básicas. No hace falta ser experto en informática para blindarse bastante frente a estas tácticas.

No compartir pantalla en videollamadas “raras”

Regla de oro: nunca compartas pantalla en una videollamada si no tienes clarísimo con quién hablas y para qué. Si encima no ves la cara de la otra persona, la sospecha debe ser máxima.

Incluso con amigos, familiares o compañeros de trabajo, conviene acostumbrarse a preguntar antes: “¿Para qué necesitas que comparta pantalla?” y, si el motivo no está claro o no lo ves necesario, negarse sin miedo. No pasa nada por parecer desconfiado; lo que sí pasa es que te puedes quedar sin cuenta o sin ahorros.

Confirmar la identidad de contactos conocidos

Cuando la llamada llega desde el número de alguien a quien conoces bien, la estafa se vuelve más sutil. En estos casos, viene bien tener a mano preguntas o detalles que solo esa persona sabría responder (“¿cómo se llamaba el restaurante donde comimos el otro día?”, por ejemplo).

Otra opción muy recomendable es contactar por otro canal distinto: llamar por teléfono normal, enviar un SMS o un correo, o usar otra app de mensajería. Si tu amigo realmente está en problemas, te lo confirmará por esa vía; si no responde o dice que no sabe de qué hablas, casi seguro que su cuenta ha sido comprometida.

No compartir códigos de verificación bajo ninguna circunstancia

Los códigos de verificación que llegan por SMS, tanto de WhatsApp como del banco u otros servicios, son personales e intransferibles. Ninguna empresa seria te los pedirá por llamada, mensaje o videollamada si tú no has iniciado antes el proceso.

Si alguien te pide ese código alegando que es para “verificar tu cuenta”, “cancelar un cargo” o cualquier otra excusa, lo correcto es colgar y, si te quedas con la duda, llamar tú al banco o al soporte oficial. El código solo debes introducirlo tú mismo en la aplicación o web correspondiente, jamás dictarlo a otra persona.

Evitar aplicaciones de acceso remoto si te las pide un tercero

Las apps de control remoto no son malas por sí mismas, pero en manos equivocadas se convierten en una puerta de entrada total a tu dispositivo. Si alguien a quien no conoces de nada te pide que instales una de estas herramientas, lo más sensato es negarse directamente.

En el entorno bancario y en los servicios serios de soporte, no te van a exigir que instales ese tipo de software solo para resolver una incidencia básica. Si escuchas nombres como AnyDesk, TeamViewer o similares en boca de un supuesto técnico que te llama de improviso, toca sospechar.

Verificar cualquier mensaje alarmista o demasiado urgente

Una señal clásica de la ingeniería social es el uso del miedo y la urgencia. Mensajes del tipo “tienes que hacer esto ahora o perderás tu cuenta” deberían activar todas tus alarmas.

Antes de actuar, haz una pausa, respira y busca la información por tu cuenta: entra tú directamente en la app de tu banco o de WhatsApp, revisa si hay notificaciones oficiales, o llama a los números de atención al cliente que aparecen en sus webs. Si todo está en orden, ya sabes que la llamada era un intento de timo.

Activar la verificación en dos pasos de WhatsApp

WhatsApp ofrece una función muy útil llamada verificación en dos pasos. Consiste en establecer un PIN de seis dígitos que la app pedirá cuando alguien intente registrar tu número en un nuevo dispositivo, incluso si tiene el SMS de verificación.

Para activarla solo hay que ir a Configuración > Cuenta > Verificación en dos pasos, seguir las instrucciones y elegir un PIN que recuerdes. De esta forma, aunque un atacante consiga el código SMS mirando tu pantalla, no podrá entrar en tu cuenta sin ese segundo factor.

Qué hacer si ya has caído en la estafa de la videollamada de WhatsApp

Si sospechas que te han robado la cuenta de WhatsApp o que durante una videollamada has compartido más de la cuenta, es fundamental actuar rápido para minimizar daños y tratar de cortar la cadena de engaños.

1. Avisar a tus contactos de lo que ha ocurrido

En cuanto tengas constancia de que ya no puedes entrar en tu WhatsApp, o veas movimientos raros, intenta comunicarte con tus familiares, amigos y grupos por otros canales (llamada, SMS, correo, redes sociales) para advertir de que tu cuenta ha podido ser comprometida.

Pídeles que ignoren cualquier mensaje, petición de dinero o código que llegue desde tu número hasta nuevo aviso. Cuanto antes lo sepan, menos probabilidades habrá de que también se conviertan en víctimas.

2. Reinstalar WhatsApp e intentar recuperar el acceso

El siguiente paso es desinstalar y volver a instalar la aplicación de WhatsApp en tu móvil. Al iniciar sesión de nuevo con tu número de teléfono, la app enviará otro código de verificación por SMS, y en muchos casos esto basta para recuperar el control de la cuenta.

Puede ocurrir que aparezca un mensaje indicando que debes esperar varias horas (por ejemplo, entre 9 y 11) para volver a intentarlo. En ese caso, respeta el tiempo que se indica y vuelve a probar más tarde. Mientras tanto, mantén informados a tus contactos de que tu cuenta sigue en proceso de recuperación.

3. Contactar con el soporte de WhatsApp

Si con la reinstalación no consigues solucionar el problema o sospechas que alguien ha activado la verificación en dos pasos con un PIN que no conoces, toca escribir directamente al soporte de WhatsApp. Desde el centro de ayuda de la propia app o de su web oficial puedes reportar el robo de cuenta.

En algunos casos será necesario dirigirse al Delegado de Protección de Datos de WhatsApp y, si en el plazo de un mes no hay respuesta o solución, se puede presentar una reclamación ante la Agencia Española de Protección de Datos, alegando vulneración del derecho a recuperar la cuenta.

4. Revisar movimientos bancarios y bloquear productos si hace falta

Si durante la videollamada abriste tu banca online o facilitaste datos financieros, conviene revisar a fondo tus cuentas, tarjetas y servicios asociados. Comprueba si hay movimientos extraños, pagos que no reconoces o transferencias que no recuerdas haber hecho.

Ante la mínima sospecha, lo más prudente es contactar de inmediato con tu banco, bloquear tarjetas si procede, cambiar contraseñas y activar medidas adicionales de seguridad (doble factor, límites de operaciones, etc.).

5. Guardar pruebas y denunciar

Por último, no olvides que se trata de un delito. Es importante reunir toda la información posible: capturas de pantalla de la conversación, registros de llamadas, correos, justificantes de operaciones bancarias y cualquier otro dato que pueda servir de prueba.

Con todo ello, acude a las Fuerzas y Cuerpos de Seguridad del Estado (Policía Nacional, Guardia Civil o policía autonómica) y presenta una denuncia por suplantación de identidad y, si hay pérdidas económicas, por estafa. Cuantas más denuncias se presenten, más fácil será para las autoridades detectar patrones y perseguir a estos grupos.

La estafa de la videollamada de WhatsApp demuestra hasta qué punto la ingeniería social puede ser más peligrosa que un fallo técnico: no hace falta vulnerar sistemas complejos, basta con lograr que la víctima actúe con prisa y confianza ciega durante unos minutos. Mantener una actitud precavida, desconfiar de solicitudes inusuales, proteger las cuentas con verificación en dos pasos y saber cómo reaccionar si algo sale mal son hoy en día hábitos tan necesarios como poner contraseña al móvil; al final, la mejor defensa es combinar la tecnología con un poco de malicia sana frente a lo que nos llega por la pantalla.