Compartir
SUPLANTACIÓN EN REDES SOCIALES

La estafa del perfil clonado: cuando los amigos en común también son falsos

Una segunda solicitud de una persona que ya tienes agregada ya es bastante sospechosa. Lo que engancha a la gente es la fila de amigos en común que aparece debajo. Y lo que casi nadie comprueba es si esos amigos en común son de verdad.

Equipo de SafeBrowz Investigación de Seguridad7 de junio de 202612 min de lectura

La historia en tres frases

Los estafadores copian el perfil de una persona real y, además, copian a varios de sus amigos y cruzan las solicitudes entre los perfiles falsos, de modo que el clon muestra "amigos en común" que reconoces. La prueba social está fabricada en parte. La historia de abajo cuenta cómo una mujer aceptó una solicitud duplicada porque tenía varios amigos en común con ella, y luego descubrió que dos de esos amigos en común eran clones del mismo grupo. La regla que te salva es simple: el número de amigos en común no prueba la identidad. Si alguien que ya tienes agregado te envía una solicitud nueva y luego te pide dinero o un código, párate y verifica por otro canal antes de hacer nada.

La segunda solicitud de amistad

Lucía Fernández tiene treinta y cuatro años y es higienista dental en Valencia. No es descuidada en internet. Usa un gestor de contraseñas, tiene la verificación en dos pasos en el correo y pone los ojos en blanco con esas cadenas de "tu cuenta ha sido hackeada" que su tía reenvía. Esa semana te habría dicho que era demasiado lista para que la clonaran.

Un jueves por la mañana abrió Facebook con el café y vio una solicitud de amistad de Marta Ruiz. Marta es una amiga real, una compañera de la universidad que ahora vive en Sevilla, de esas con las que intercambias felicitaciones de cumpleaños y poco más. Lucía dudó medio segundo. Pero si ya somos amigas, pensó. Y entonces llegó el segundo pensamiento, justo con el que contaba el estafador: Marta se habrá hecho una cuenta nueva. La gente lo hace. Se quedan fuera, empiezan de cero, pierden una contraseña.

El perfil tenía toda la pinta correcta. La misma foto, Marta riéndose en una playa. La misma portada. La misma frase de biografía sobre los perros y los realities malos. Y debajo, lo que terminó de convencerla: varios amigos en común. Lucía recorrió la fila. Su antigua compañera de piso Dani. Dos chicas de la facultad. Un chico de la boda de Marta. Gente que Lucía conocía de verdad.

Aceptó.

El mensaje llegó veinte minutos después.

"Holaaa! Cuánto tiempo. Oye una cosa, te has enterado de lo de las cripto en lo que se metió Dani? Yo metí como 800 y ya va por 3.000, en serio que flipo"

Lucía contestó: "jaja no, qué es eso". Una parte de ella tenía curiosidad. Dani era justo del tipo que encontraría algo así.

"Te paso el contacto del gestor, es de fiar, llevó lo mío. Pero oye, antes una cosa rara, estoy configurando la cuenta en un móvil nuevo y te va a llegar a TI un código de 6 dígitos por error, porque estamos las dos en su grupo. Me lo lees cuando llegue? Son dos segundos"

Y ahí estaba. El giro.

Un SMS llegó un minuto después. Un código de 6 dígitos. La cabecera decía que era un código de acceso para el propio WhatsApp de Lucía.

Lucía se quedó mirándolo. Algo no cuadraba. Por qué iba un gestor de cripto a necesitar un código enviado a su teléfono. Por qué configurar la cuenta de Marta le enviaba un SMS a Lucía. Había leído suficientes de esas cadenas que la hacían poner los ojos en blanco como para saber que "léeme el código" nunca es inocente.

No escribió el código. Dejó el teléfono, cogió su otro teléfono y llamó a la Marta que tenía guardada en contactos, la de verdad, el número que llevaba usando nueve años.

Marta contestó al tercer tono, confundida. "¿Qué cuenta nueva? Yo no he agregado a nadie. Lucía, creo que alguien me ha copiado. Mi primo me ha dicho lo mismo esta mañana."

Lucía le contó lo de los amigos en común. Marta se quedó callada. "Espera. ¿Cuáles?" Lucía le leyó los nombres. Marta la paró en dos de ellos. "La cuenta de Dani es la Dani real. Pero esas dos, las de la facultad, las eliminé hace años. No son ellas. Esas también tienen que ser falsas."

Los amigos en común que tranquilizaron a Lucía hasta hacerle pulsar aceptar no eran todos reales. Dos de ellos eran clones que controlaba el mismo estafador, colocados en la lista justo para que los números cuadraran.

Entonces, ¿qué estuvo a punto de entregar Lucía?

Su propia cuenta. No la de Marta.

La frase del "código de 6 dígitos por error" es uno de los giros de robo de cuenta más comunes en las apps de mensajería. El estafador entra en WhatsApp, Facebook o Instagram e introduce el número de teléfono de Lucía en la pantalla de inicio de sesión. La plataforma envía el código de verificación real al teléfono real de Lucía, porque así funcionan los códigos de acceso. Entonces el estafador, con la cara de Marta, le pide a Lucía que se lo lea. Si Lucía lo lee, el estafador lo escribe y toma el control de la cuenta de Lucía. Desmenuzamos esa mecánica exacta en la guía del código de 6 dígitos de WhatsApp.

Y una vez que la cuenta de Lucía desaparece, la red tiene un perfil nuevo, real y de confianza para clonar y desde el que enviar mensajes. Lucía se convierte en la siguiente "Marta" entre los amigos en común de otra persona. Así crece la red. Cada robo exitoso alimenta la siguiente ronda de clonación, y por eso estos grupos se extienden por un círculo de amigos como una mancha.

El gancho de las cripto y el pedido del código son cargas intercambiables. Algunos clones se saltan el código y van directos a la emergencia: "Estoy en un apuro, ¿me puedes hacer un Bizum de 200 y te lo devuelvo esta noche?" Otros envían un enlace de "reclama tu regalo" a una página de sorteo falsa. El perfil clonado es solo la furgoneta de reparto. Lo que lleva dentro depende del día.

Cómo funciona de verdad la fábrica de clones

El error que comete la gente es imaginar una sola cuenta falsa. Rara vez es una sola. Es un pequeño grupo, montado a propósito.

  • Raspan al objetivo. El estafador encuentra a una persona real con un perfil público o semipúblico. Lista de amigos pública, fotos públicas, portada pública. Todo se puede copiar en minutos con un clic derecho y una captura de pantalla.
  • Clonan a la persona y a varios de sus amigos. Este es el paso que todo el mundo se salta. El estafador no solo copia a Marta. También copia a tres o cuatro de los amigos de Marta, creando perfiles duplicados con los mismos nombres y fotos.
  • Cruzan las solicitudes entre los falsos. El clon de Marta agrega a los clones de las chicas de la facultad. Ahora la Marta falsa tiene de verdad a esos amigos falsos, así que cuando llegas a su perfil, la fila de "amigos en común" muestra gente que conoces, salvo que algunas de esas entradas son los propios títeres del estafador.
  • Envían solicitudes a la lista real. La Marta falsa envía solicitudes a los amigos reales de Marta, tú incluida. Tus conexiones compartidas se encienden. La prueba social fabricada hace el trabajo de convencer.
  • Explotan la confianza y sueltan la carga. En cuanto aceptas, llega el mensaje. Dinero, un código, un enlace, una inversión. La cara coincide, los amigos en común coinciden, la urgencia aterriza, y el "se habrá hecho una cuenta nueva" tapa todo lo demás.

Una frase que vale la pena recordar: el estafador no está falsificando a un amigo, está falsificando una pequeña porción de tu red social.

Por qué el truco de los amigos en común falsos engaña a gente prudente

Lucía no es ingenua. Cayó en el paso de aceptar, no en el del dinero, y cayó por un número. Esto es por qué la prueba social fabricada es tan eficaz.

  • Tratamos el número de amigos en común como una verificación. Una docena de amigos compartidos parece una docena de personas independientes avalando la cuenta. No lo es. Algunos de esos amigos pueden estar controlados por la misma persona que montó el clon.
  • La historia de la "cuenta nueva" es plausible. A la gente real sí se le bloquea la cuenta y empieza de cero. Esa experiencia genuina y común es justo lo que hace que la solicitud duplicada resulte creíble en vez de alarmante.
  • La cara y los detalles son perfectos. Mismo nombre, misma foto, misma biografía. No hay nada visualmente mal que te haga saltar, porque es una copia fiel de un perfil real.
  • La petición viaja sobre una confianza que ya existe. No te aborda un desconocido. Te aborda alguien con la identidad de una persona que conoces desde hace años, así que la petición recibe el beneficio de la duda que un desconocido nunca tendría.
  • La urgencia cierra el hueco. "El código está llegando ahora", "la oferta cierra hoy", "estoy en un apuro y lo necesito esta noche". La prisa está ahí para impedirte hacer lo único que rompe toda la estafa: comprobar por otra vía.

Qué dicen los informes recientes

La clonación de cuentas y la suplantación no son algo marginal. En España y Latinoamérica, donde WhatsApp es la app dominante y Facebook sigue siendo enorme, las cifras de los últimos años sitúan el fraude en redes sociales en el centro del problema.

  • INCIBE (España): la suplantación de identidad y el fraude a través de redes sociales y mensajería figuran entre los incidentes más atendidos por su línea de ayuda en ciberseguridad 017, gratuita y confidencial.
  • Oficina de Seguridad del Internauta, OSI (osi.es): avisa de forma recurrente sobre los perfiles falsos que copian a contactos reales y sobre la estafa del "código que te llega por error", recomendando no compartir nunca códigos de verificación.
  • CONDUSEF y la Guardia Nacional (México): documentan el robo de cuentas de WhatsApp y la suplantación de familiares para pedir dinero como una de las quejas digitales más frecuentes.
  • Guía de seguridad de Meta: Meta indica públicamente que una cuenta que suplanta a otra persona se puede reportar desde el propio perfil, y que limitar quién puede ver tu lista de amigos reduce lo fácil que es clonar y cosechar un perfil.
  • Patrón regional: en toda la zona hispanohablante, el robo de cuenta de WhatsApp por el código de 6 dígitos se reutiliza una y otra vez para atacar después a los propios contactos de la víctima, que es como crecen estas redes.

Un dato para quedarse pensando: para mucha gente que perdió dinero en estafas que empezaron en redes sociales, el canal de contacto fue precisamente una red social más que cualquier otro. La solicitud de amistad no es una puerta lateral. Para muchas víctimas, es la puerta principal.

🛡 COMPROBACIÓN EN VIVO

Comprueba un enlace sospechoso ahora mismo

Si una cuenta clonada te envía un enlace de "reclama tu regalo", un portal de inversión o una página de inicio de sesión, no lo abras. Pégalo aquí primero. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL queda vinculada a tu identidad.

Las señales de alerta que deberían detenerte

Ninguna señal aislada prueba un clon. La combinación es la pista, y la más fuerte está la primera de la lista.

  • Una segunda solicitud de alguien que ya tienes agregado. Esta es la señal más ruidosa. Si ya tienes a Marta y "Marta" te envía una solicitud nueva, trátala como un clon hasta que se demuestre lo contrario.
  • Una cuenta recién creada solo con foto de perfil y portada, sin historia real. Abre el perfil. Si no hay publicaciones antiguas, ni fotos etiquetadas, ni comentarios de hace años, solo las dos fotos y un muro fino, es casi seguro nueva y falsa.
  • Amigos en común cuyas propias cuentas parecen nuevas o duplicadas. Entra en los amigos en común en sí. Si algunos también están vacíos, recién creados o son duplicados de gente que conoces, estás viendo la red clonada, no prueba social real.
  • Una petición urgente de dinero, cripto o un sorteo poco después de conectar. Un reencuentro real empieza con charla. Una estafa llega rápido al dinero: una oportunidad de inversión, un préstamo de emergencia, un enlace para "reclamar este premio".
  • El giro de "léeme el código de 6 dígitos". Cualquier petición de leer en voz alta un código de verificación que llega a tu teléfono es un intento de robarte tu propia cuenta. No hay versión inocente de esto. Ninguna.
  • Un empujón para salir de la plataforma. "Escríbeme por WhatsApp", "hablemos por Telegram", "pásame tu número". Mover la conversación fuera de la plataforma escapa de sus herramientas de denuncia y detección.

La afirmación que hay que jubilar

Se la oyes a gente sensata: "Tenía un montón de amigos en común, así que pensé que era real". Trata esa frase como una advertencia, no como un alivio.

El número de amigos en común no prueba la identidad. Es una cifra que el estafador puede moldear, porque puede clonar a varios de tus amigos y cruzar las solicitudes entre los falsos para que aparezcan en esa cuenta. Doce amigos en común donde dos son títeres no son doce personas avalando una cuenta. Son diez personas reales y un decorado. La única forma de confirmar a una persona es alcanzar a la persona real por un canal que el estafador no controle. La lista de amigos nunca confirma a nadie.

Qué hacer en cuanto llega una solicitud duplicada

Si te está pasando ahora mismo, ve paso a paso. No te sientas grosero por negarte.

  • No aceptes una solicitud duplicada. Si ya estás conectada con esta persona, la nueva solicitud es el problema, no una comodidad. Déjala pendiente.
  • Verifica por otro canal. Llama o escribe a la persona real al número que ya tienes guardado, o búscala en una plataforma que sepas con certeza que es suya. Pregúntale si se ha hecho una cuenta nueva. Un mensaje por fuera termina con las dudas.
  • Nunca envíes dinero y nunca leas un código. Ningún amigo real necesita que le leas un código de verificación que llegó a tu teléfono. Ningún amigo real reaparece con una propuesta de inversión. Niégate a ambas cosas, siempre.
  • Reporta el clon. En Facebook e Instagram, abre el perfil falso, toca los tres puntos y elige Denunciar, luego Suplantación de identidad o "se hace pasar por otra persona". En WhatsApp, reporta y bloquea el contacto. Las plataformas actúan más rápido cuando varias personas del mismo círculo reportan el mismo clon.
  • Avisa a la amiga real y a los amigos en común. Dile a la persona que la han clonado para que pueda publicar un aviso a su lista. Avisa también a los amigos en común, y recuerda que algunos de ellos pueden ser falsos del mismo grupo, así que avisa por canales en los que confíes, no respondiendo dentro del hilo sospechoso.
  • Si ya leíste un código o enviaste dinero, muévete ya. Para una cuenta robada, ve a la recuperación de cuenta de facebook.com o el equivalente en tu plataforma, cambia la contraseña y cierra las sesiones activas. Para el dinero enviado, llama a la línea de fraude de tu banco o tu app de pagos y pide retener la operación. Las primeras 24 horas son las que más cuentan.

Cómo evitar que clonen tu propia cuenta

No puedes impedir que alguien capture una foto pública, pero sí puedes convertir tu cuenta en un objetivo mucho peor y dejar sin combustible el paso de la clonación.

  • Oculta o limita tu lista de amigos. Este es el ajuste de mayor valor. El clonador necesita tu lista de amigos para saber a quién enviar la siguiente solicitud. En Facebook, pon la visibilidad de la lista de amigos en "Solo yo". Si no pueden ver tu lista, no pueden trabajar el grupo.
  • Pon fotos y publicaciones solo para amigos. Restringe el historial de fotos de perfil, la portada y la biografía para que un desconocido no pueda cosechar el material con el que montar una copia convincente.
  • Recorta los datos personales públicos. Quita de la vista pública tu teléfono, cumpleaños, ciudad de origen y trabajo. Cada uno es un ladrillo de un clon más creíble.
  • Activa la verificación en dos pasos en todo. Una app de autenticación es lo mejor. Esto es lo que evita que funcione el giro de "léeme el código" aunque resbales, y te protege de un robo directo.
  • Busca tu propio nombre y tu foto de vez en cuando. Cada par de meses, busca tu nombre en la plataforma y haz una búsqueda inversa de imagen de tu foto de perfil. Cazar un clon pronto, antes de que trabaje a tus amigos, limita el daño.
  • Publica un aviso de tu cuenta real si te clonan. Diles a tus amigos cuál es tu cuenta real y que nunca les escribirás sobre dinero ni códigos. Eso inmuniza a tu círculo contra el siguiente intento.

Cómo y dónde reportarlo

Reporta el clon aunque no haya funcionado contigo. Las denuncias eliminan las cuentas falsas más rápido y alimentan los datos que desmantelan estas redes.

  • En la plataforma: usa la opción de denuncia del propio perfil en Facebook e Instagram, eligiendo Suplantación de identidad. En WhatsApp, reporta y bloquea el contacto dentro del chat. Pide que la gente de tu círculo compartido también lo reporte.
  • España: llama a la línea gratuita 017 de INCIBE para orientación, consulta los avisos en osi.es, y si hay dinero o robo de cuenta, pon una denuncia ante la Policía Nacional o la Guardia Civil para que tu banco tenga una referencia de caso.
  • México: reporta a la CONDUSEF si hubo fraude financiero y a la Policía Cibernética de la Guardia Nacional por la suplantación y el robo de cuenta.
  • Resto de Latinoamérica: denuncia la suplantación en la plataforma y ante la unidad de delitos informáticos o policía cibernética de tu país, y avisa cuanto antes a todos tus contactos reales.
  • Estados Unidos: si te encuentras en EE. UU., presenta el caso en reportfraud.ftc.gov.
Nota del autor sobre las fuentes. El caso de Lucía y Marta es ilustrativo, no un suceso concreto y único. Está construido a partir de patrones de ataque reales documentados en los últimos años por INCIBE y su línea 017, la Oficina de Seguridad del Internauta (osi.es), la CONDUSEF y la Guardia Nacional de México, y las guías públicas de seguridad de Meta para Facebook e Instagram. Los nombres, las ciudades, los diálogos y las cantidades están dramatizados para mayor claridad. Víctimas reales han vivido esencialmente lo mismo, muy a menudo aceptando una solicitud duplicada porque mostraba amigos en común familiares, y los pasos de verificación, denuncia y recuperación de arriba reflejan lo que recomiendan hoy los investigadores y las plataformas.

Cómo bloquea SafeBrowz esta amenaza

SafeBrowz utiliza una arquitectura de detección de 3 capas: Local + APIs + IA.

  • Capa 1, detección local: 60+ patrones de URL y 550+ firmas específicas de marca se ejecutan directamente en tu navegador. Esto caza las páginas calcadas que empujan las cuentas clonadas, los sorteos falsos y las páginas de "reclama tu premio", los portales falsos de inversión en cripto y las páginas de inicio de sesión falsas que se usan para robar tu contraseña.
  • Capa 2, verificación por APIs: Google Safe Browsing, PhishTank, URLhaus y ScamAdviser cruzan referencias y marcan dominios maliciosos conocidos en el momento en que se reportan en cualquier parte del mundo.
  • Capa 3, análisis profundo por IA (Premium): análisis de contenido en más de 100 idiomas que marca sorteos y páginas de inicio de sesión falsas recién creadas que aún no figuran en ninguna lista negra.

Divulgación honesta: SafeBrowz no puede leer tus mensajes directos y no decide si una solicitud de amistad es falsa. Somos una extensión de navegador. Lo que bloqueamos es la fase del enlace, el sorteo falso, la inversión o la página de inicio de sesión a la que te envía una cuenta clonada. El clon en sí se defiende con los movimientos humanos de arriba: no aceptes solicitudes duplicadas, nunca leas un código y verifica al amigo por otro canal. Combina la defensa del enlace con el hábito de verificar por otra vía y el estafador se queda sin margen.

Las firmas de detección se derivan de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de datos de navegación del usuario. SafeBrowz no almacena el historial de navegación por usuario.

Bloquea los sorteos falsos y las páginas de inicio de sesión que envían las cuentas clonadas

SafeBrowz es una extensión de navegador gratuita para Chrome, Firefox y Edge que bloquea páginas de inicio de sesión falsas, portales de sorteo falsos y sitios calcados antes de que carguen. Reconoce 550+ marcas, todas marcadas automáticamente cuando una página intenta suplantarlas, y su análisis de contenido por IA funciona en más de 100 idiomas para cazar dominios de estafa recién creados en cuanto se activan. Gratis para siempre, sin necesidad de cuenta. Puedes comprobar cualquier enlace primero en nuestro comprobador de URL gratuito.

Chrome Agregar a Chrome Firefox Agregar a Firefox Edge Agregar a Edge

Preguntas frecuentes

¿Por qué me llega una solicitud de amistad de alguien que ya tengo agregado?

Casi siempre porque un estafador ha clonado el perfil de esa persona. Copian el nombre, la foto, la portada y la biografía, y luego envían solicitudes nuevas a toda la lista de amigos de la persona real, esperando que supongas que tu amigo se hizo una cuenta nueva. El amigo real no te agregó. No aceptes la solicitud duplicada. En su lugar, contacta a la persona por un número o una plataforma que ya sabes que es suya y pregúntale si se ha hecho una cuenta nueva.

Si un perfil tiene muchos amigos en común, ¿significa que es real?

No. El número de amigos en común no prueba la identidad. Los estafadores suelen clonar a varias personas del mismo círculo y cruzar las solicitudes entre esos perfiles falsos, de modo que un clon puede mostrar amigos en común que reconoces, salvo que algunos de esos amigos también son falsos que controla el estafador. Entra en los amigos en común en sí: si algunas de sus cuentas son nuevas, vacías o duplicados de gente que conoces, estás viendo una red clonada, no prueba social genuina.

La cuenta nueva de un amigo me pidió leer un código de 6 dígitos. ¿Qué está pasando?

Es un intento de robarte tu propia cuenta, no la de tu amigo. El estafador introduce tu número de teléfono en una pantalla de inicio de sesión de WhatsApp, Facebook o Instagram, lo que envía el código de verificación a tu teléfono real. Si se lo lees, lo escribe y toma el control de tu cuenta. Ningún amigo real necesita un código que llegó a tu dispositivo. Nunca lo leas, y activa la verificación en dos pasos para que un descuido no te deje fuera.

¿Cuáles son las señales más claras de que una solicitud es una cuenta clonada?

Una segunda solicitud de alguien que ya tienes agregado es la señal más ruidosa. Después: una cuenta recién creada solo con foto de perfil y portada y sin historia real, amigos en común cuyas cuentas parecen nuevas o duplicadas, una petición urgente de dinero, cripto o un sorteo poco después de conectar, una petición de leer un código de verificación y un empujón para mover la conversación a WhatsApp o Telegram. Ninguna señal aislada es prueba, pero la combinación casi siempre lo es.

¿Cómo evito que clonen mi propia cuenta?

Oculta o limita tu lista de amigos, que es el paso más importante, porque el clonador necesita tu lista para saber a quién apuntar después. Pon tus fotos y publicaciones solo para amigos, quita de la vista pública tu teléfono, cumpleaños, ciudad de origen y trabajo, y activa la verificación en dos pasos en todo. Busca tu propio nombre y haz una búsqueda inversa de tu foto de perfil cada par de meses para cazar un clon pronto, y publica un aviso diciendo a tus amigos que tu cuenta real nunca les escribirá sobre dinero ni códigos.

¿SafeBrowz detiene las estafas de cuentas clonadas?

SafeBrowz no puede decirte si una solicitud de amistad concreta es falsa, y no lee tus mensajes. Lo que bloquea es la fase del enlace del ataque: las páginas de sorteo falsas, los portales de inversión falsos y las páginas de inicio de sesión calcadas a las que te envía una cuenta clonada. Nuestra base de datos de 550+ marcas caza esas páginas de suplantación en tiempo real, y nuestra capa de IA (Premium) caza páginas de estafa recién creadas en cuanto se activan. Combina SafeBrowz con el hábito de verificar a los amigos por otro canal y cubres los dos extremos del ataque.

Última actualización 2026-06-07

Lectura relacionada de SafeBrowz