La estafa "Añade este número a WhatsApp" explicada

Los delincuentes están constantemente perfeccionando sus esquemas de ingeniería social, adaptándolos para mantener desprevenidas a sus víctimas potenciales. WhatsApp es solo uno de los múltiples vectores de ataque, y algunos de los ataques más recientes a través de esta aplicación son notablemente ingeniosos. 

La mejor manera de mantener seguros a los usuarios, además de instalar una solución de seguridad en cualquier dispositivo personal con procesador, es mantenerlos informados. Una táctica que usan los delincuentes es cambiar continuamente sus métodos para que las personas no se acostumbren a ellos. 

Por esta razón, algunos tipos de ataques pueden parecer extraños o ridículos inicialmente, pero en realidad es una táctica para sorprender a los usuarios desprevenidos. 

Cómo comienza 

En la mayoría de los casos, el ataque comienza de la misma manera para casi todos. 

• El usuario recibe una llamada de voz robótica (automática), generalmente desde un número extranjero.
• La voz instruye a la víctima potencial para que agregue un número específico o el número desde el que se recibió la llamada a sus contactos de WhatsApp.
• La llamada termina abruptamente, sin más explicación. 

Sería lógico preguntarse por qué los atacantes hacen esto. Parece absurdo y es fácil imaginar que nadie seguiría esas instrucciones. 

Las tácticas generales son en realidad bastante simples. Las llamadas telefónicas parecen más urgentes que los correos electrónicos o mensajes de texto, WhatsApp es ampliamente confiable, por lo que las personas suelen bajar la guardia, y agregar un nuevo contacto parece algo inofensivo. 

Sin embargo, el hecho de que los delincuentes continúen invirtiendo tiempo y dinero en estos ataques significa que son efectivos. No esperan tener muchas víctimas, pero sí se enfocan en un grupo específico. Si un usuario se toma la molestia de agregar el número a sus contactos, los atacantes saben que es más probable que puedan expandir su objetivo. 

Posibles escenarios de ataque: 

Secuestro de la cuenta de WhatsApp

Los estafadores apuntan a cuentas de WhatsApp porque son ampliamente usadas y porque implican confianza personal. Tras convencer a las víctimas de añadir su número, podrían enviar mensajes haciéndose pasar por soporte oficial de WhatsApp o por una organización confiable. Una táctica común es solicitar a la víctima su código de verificación con pretextos falsos, lo que les da acceso a la cuenta de la víctima y permite bloquear su acceso legítimo. Una vez secuestrada, la cuenta comprometida puede ser usada para pedir dinero o información personal a los contactos de la víctima, aprovechándose de las relaciones y la confianza establecidas. Incluso podrían pedir un rescate para devolver el acceso. 

Fraude financiero directo y robo de identidad

Una vez que la víctima interactúa por WhatsApp, los estafadores pueden hacerse pasar por representantes de bancos, agencias gubernamentales o soporte técnico. Inventan escenarios urgentes y exigen acciones inmediatas—como deudas falsas, cargos fraudulentos o supuestas brechas de seguridad en cuentas. El objetivo final es persuadir a las víctimas para que revelen información personal y financiera sensible, incluyendo detalles bancarios, números de tarjetas de crédito y datos de identificación personal. Esta información en las manos equivocadas puede conducir directamente a pérdidas financieras significativas, actividades fraudulentas e incluso complejos casos de robo de identidad. 

Distribución de malware

Otro riesgo crítico ocurre cuando los estafadores comparten enlaces o archivos a través de WhatsApp bajo pretextos aparentemente legítimos, como documentos importantes o actualizaciones. Una víctima desprevenida podría abrir un enlace malicioso e inadvertidamente instalar malware en sus dispositivos. Este malware puede recopilar información sensible, permitir acceso remoto a los criminales, cifrar datos para pedir rescate (ransomware), o monitorear silenciosamente las actividades del usuario. Muchos de estos malware son troyanos bancarios específicamente diseñados para robar la información bancaria. 

Reclutamiento para actividades criminales

En escenarios sofisticados de ingeniería social, los delincuentes pueden reclutar a las víctimas en esquemas criminales mayores. Podrían inicialmente ofrecer falsas oportunidades laborales o esquemas de trabajo desde casa a través de WhatsApp. Otra modalidad podría implicar personas reales que llaman a la víctima convenciéndola para que invierta en acciones o criptomonedas mediante plataformas falsas. Con el tiempo, las víctimas podrían participar inadvertidamente en lavado de dinero, transacciones financieras ilegales o en la propagación de actividades criminales, enfrentándose a graves consecuencias legales. 

Ingeniería social dirigida y chantaje

Al obtener acceso inicial a WhatsApp e información sobre el perfil y contactos de la víctima, los estafadores pueden lanzar ataques personalizados. Explotan detalles obtenidos de conversaciones o perfiles para ganar credibilidad o presionar a las víctimas a cumplir con sus demandas. Podría seguir un chantaje o extorsión, utilizando información sensible obtenida ilegalmente o amenazando con divulgar públicamente información comprometedora o privada si no se cumplen sus exigencias. 

Cómo mantenerse seguro:  

• Habilita la autenticación de dos factores: añade una capa adicional de seguridad a tu cuenta de WhatsApp. 
• Sé escéptico ante mensajes no solicitados: Evita interactuar con contactos desconocidos que solicitan información personal, especialmente si la llamada parece provenir de otro país. 
• Usa herramientas de seguridad: Scamio de Bitdefender es un chatbot basado en IA que ayuda a identificar posibles estafas. También puedes beneficiarte de soluciones completas como Bitdefender Mobile Security. 
• Reporta actividades sospechosas: Informa a WhatsApp y otras plataformas relevantes sobre posibles estafas. No olvides reportar los números sospechosos desde el sistema operativo del teléfono. Marcarlos como spam ayudará a mantener seguros a otros usuarios.