Estafa del código de 6 dígitos de WhatsApp: cómo unos extraños secuestran su cuenta en 60 segundos y qué hacer

El mensaje que abre el ataque

El mensaje llega de alguien en su libreta de contactos: un contacto real, con nombre y foto que reconocen. La columna vertebral siempre es la misma:

"Hola, perdón, envié un código a tu número por error. ¿Me lo puedes reenviar? Lo necesito urgente."

A veces el encuadre es "mi código fue a tu número porque escribí mal" o "WhatsApp falló, por favor reenvíalo". El tono suena apurado y avergonzado. El contacto es real, pero no es quien escribe. Su WhatsApp fue tomado antes de la misma forma, y el atacante ahora lo usa para cosechar la siguiente tanda. Ustedes confían en el contacto. El atacante explota exactamente eso.

Qué hace en realidad el código de 6 dígitos

El inicio de sesión por dispositivo de WhatsApp es de un solo factor: un código SMS de 6 dígitos enviado al número que se está registrando. Según la documentación de registro de WhatsApp, esto verifica que la persona que instala la app controla la SIM. No hay segundo factor por defecto. Quien escribe el código controla la cuenta.

Si un atacante ingresa su número en una instalación nueva, WhatsApp envía el código a su celular. Sin él, no tiene nada. Con él, inicia sesión como ustedes, y su celular queda desconectado porque WhatsApp solo permite un dispositivo principal por número. La estafa se reduce a un movimiento: lograr que la víctima reenvíe ese código.

Qué pasa cuando comparten el código

Etapa 1 - Inicio de sesión del atacante. El atacante pega su código en el registro de WhatsApp en su celular. Su teléfono muestra "Tu número de teléfono ya no está registrado con WhatsApp en este teléfono". La ventana entre compartir el código y el bloqueo es de 5 a 15 segundos.

Etapa 2 - Bloquearlos con un PIN nuevo. La primera acción dentro de la cuenta robada es activar la verificación en dos pasos con el PIN del atacante. Según la documentación de verificación en dos pasos de WhatsApp, ese PIN se requiere para volver a registrarse. Ustedes no lo conocen. Sin correo de recuperación, el restablecimiento queda bloqueado tras una espera obligatoria de 7 días.

Etapa 3 - Cosechar sus contactos. El atacante les escribe a sus contactos más frecuentes con el mismo truco o con un pedido de plata: "Estoy en problemas. Perdí mi billetera. ¿Me puedes mandar R$ 800 por Pix?" O INR por UPI, GBP por transferencia bancaria, AED por apps locales. El familiar, viendo el mensaje desde el nombre y foto correctos, cumple antes de verificar.

Action Fraud del Reino Unido reportó que las estafas de suplantación en WhatsApp costaron a las víctimas británicas más de 1,5 millones de GBP solo en 2021. El CERT-In de India emitió alertas sobre el mismo patrón. Las agencias del Procon de Brasil registran el "golpe do código" como queja frecuente desde 2022.

Por qué pega más fuerte en India, Brasil y MENA

En India, Brasil, Emiratos Árabes Unidos, Arabia Saudita, Egipto y la mayor parte de MENA, WhatsApp es la app de mensajería principal, no una secundaria. El SMS es para los OTP bancarios. El correo es para el trabajo. WhatsApp es el canal casual de las familias. Un mensaje de un familiar pesa lo mismo que un toque en el hombro.

Las redes de confianza son densas: un usuario indio puede tener entre 200 y 500 contactos activos. Cada secuestro le da al atacante esa superficie. Igual densidad en Brasil (los grupos de WhatsApp organizan los barrios) y en MENA (la familia extendida es infraestructura social central). "Estoy en problemas, mándame plata" pega más fuerte enviado a un padre o un abuelo condicionado a ayudar al instante. Los rieles de pago del mismo día (UPI, Pix, transferencias instantáneas) se liquidan en segundos y son irreversibles.

Las 7 banderas rojas que atrapan toda variante

1. Cualquier pedido no solicitado de compartir un código. Si ustedes no acaban de intentar iniciar sesión, ninguna persona legítima necesita su código de 6 dígitos. Ni un amigo, ni su banco, ni WhatsApp. El código es para escribirlo en la app, nunca para reenviarlo.
2. El contacto actúa con urgencia o fuera de carácter. Un familiar que escribe con calma de repente usa frases cortas y desesperadas. Un amigo de otra zona horaria escribiendo a las 3 de la mañana. El cambio de tono delata al atacante: suele no ser hablante nativo y la urgencia lo obliga a saltarse la charla informal.
3. La frase "por error" o "sin querer". Los amigos reales no envían códigos de WhatsApp a otras personas sin querer: WhatsApp no tiene función que haga eso. El código solo va al número que se está registrando.
4. Gancho de urgencia o emergencia. "Lo necesito ya", "mi papá está en el hospital", "estoy por perder mi vuelo". La urgencia existe para cortocircuitar la deliberación.
5. Pedido de mantenerlo en secreto. "No le digas a nadie, me da vergüenza". Los amigos reales no piden mantener pedidos mundanos en privado. El secreto es el estafador construyendo un foso alrededor de la mentira.
6. Cambio de idioma respecto al estilo habitual del contacto. La tía que siempre escribe en mezcla de español e inglés ahora en español impecable. El amigo que siempre manda notas de voz ahora solo texto. El atacante controla el texto pero no los hábitos del contacto.
7. La llamada de seguimiento es imposible o se rechaza. "Déjame llamarte para confirmar" recibe "no puedo hablar ahora, solo envíame el código": esa es la estafa. Un contacto real acepta la llamada. El atacante no, porque las voces no coinciden.

No necesitan las siete. Cualquiera basta para negarse, pausar y verificar por otro canal.

Prevención: activen la verificación en dos pasos

La defensa de mayor apalancamiento es activar la verificación en dos pasos antes de que alguien los tenga en la mira. Con ella activa, compartir el código deja de ser fin de juego: el atacante también necesita su PIN, que ustedes nunca comparten y que nunca se envía por SMS.

La configuración toma 60 segundos: WhatsApp -> Ajustes -> Cuenta -> Verificación en dos pasos -> Activar. Elijan un PIN de 6 dígitos que NO sea igual a ningún PIN bancario. Agreguen un correo de recuperación: sin él, el restablecimiento queda bloqueado tras una espera de 7 días.

Según la documentación de verificación en dos pasos de WhatsApp, el PIN se requiere cada vez que se vuelve a registrar el número. Si un atacante obtiene su código SMS pero no el PIN, el secuestro fracasa. No existe una historia creíble para pedir "envíame también tu PIN privado".

Recuperación si ya compartieron el código

La velocidad importa. La ventana entre compartir el código y el atacante activando su PIN suele ser de menos de 30 segundos.

Recuperación en 30 segundos si actúan de inmediato:

1. Abran WhatsApp y vuelvan a registrar su número. Soliciten un código SMS nuevo. Al ingresarlo, WhatsApp desconecta al atacante y los reconecta. Según la documentación de WhatsApp, solo se permite un dispositivo principal, así que volver a registrar siempre saca al otro lado.
2. Activen inmediatamente la verificación en dos pasos. Ajustes -> Cuenta -> Verificación en dos pasos -> Activar. Configuren un PIN. Agreguen un correo de recuperación.

La ruta del código SMS es simétrica: quien ingresa el código más reciente gana. Si vuelven a registrar antes de que el atacante configure su PIN, ustedes ganan.

Si el atacante configuró su PIN primero: soliciten el código SMS y, cuando WhatsApp pida el PIN que no tienen, toquen "¿Olvidaste tu PIN?". Si había correo de recuperación, WhatsApp envía un restablecimiento. Si no, queda bloqueado durante una espera obligatoria de 7 días. Durante esos 7 días: alerten a cada contacto por otros canales (SMS, correo, Signal, llamadas) que su WhatsApp está comprometido. Envíen correo a support@whatsapp.com con asunto "Lost or Stolen Phone". Reporten al portal de cibercrimen de su país: cybercrime.gov.in + 1930 (India), Action Fraud 0300 123 2040 (Reino Unido), Procon + Delegacia de Crimes Cibernéticos (Brasil), ecrime.ae (EAU). Si los familiares enviaron dinero, contacten a su banco en minutos: las transferencias por UPI y Pix a veces se pueden revertir si el banco actúa rápido.

Por qué esta estafa sigue funcionando

El hábito de compartir OTP se refuerza todos los días. Los usuarios escriben códigos de 6 dígitos en apps bancarias, UPI, portales gubernamentales y cajas de e-commerce muchas veces al día. La mayoría asume que "si llegó un código y alguien lo pide, el sistema está funcionando". La confianza social supera al pensamiento crítico: "el tío Raj" se siente distinto a un número crudo. Y la verificación en dos pasos viene desactivada por defecto. La primera vez que aterriza el secuestro, ya es tarde.

Dónde encaja SafeBrowz

El secuestro ocurre dentro de la app de WhatsApp, fuera del alcance de un escáner de navegador. La capa del navegador atrapa los ataques adyacentes: páginas falsas de inicio de sesión en WhatsApp Web, descargas falsas de "WhatsApp Pink/Gold", correos de phishing falsos de eliminación de cuenta y la secuela del secuestro, donde las cuentas robadas envían enlaces de phishing hacia bancos falsos, portales falsos de Pix y páginas falsas de confirmación de UPI. SafeBrowz escanea cada URL antes de que se renderice con una base de datos de más de 550 marcas, firmas de kits de credenciales y análisis de contenido por IA en más de 100 idiomas.

Preguntas frecuentes

¿De verdad alguien puede secuestrar mi WhatsApp solo con un código?

Sí. El inicio de sesión del dispositivo principal de WhatsApp es de un solo factor por defecto. Compartir el código SMS hace que el destinatario inicie sesión en su cuenta desde su dispositivo y los desconecta a ustedes en segundos. Está documentado en las páginas de seguridad de WhatsApp y en alertas del CERT-In, Action Fraud y Procon. La verificación en dos pasos agrega un PIN que ustedes controlan y rompe este ataque.

El mensaje vino de un contacto real. ¿Cómo lo hackearon a él?

De la misma manera: alguien en quien él confiaba compartió un código antes en la cadena. Cada secuestro exitoso le da al atacante de 200 a 500 contactos nuevos para apuntar. Para cuando ustedes reciben el mensaje del "código por error", el contacto ya perdió el control de su cuenta. El atacante opera su celular con su nombre y foto, pero no es él quien escribe.

Compartí el código hace 30 segundos. ¿Es demasiado tarde?

No necesariamente. Abran WhatsApp, vuelvan a ingresar su número y soliciten un código SMS nuevo. Al ingresarlo, WhatsApp desconecta al atacante y los reconecta. La ruta del código SMS es simétrica: quien ingresa el código más reciente gana. Apenas vuelvan a entrar, activen la verificación en dos pasos. La ventana es de unos 30 segundos a 2 minutos antes de que el atacante active su PIN y los deje bloqueados durante 7 días.

Mi cuenta está bloqueada y el atacante configuró su PIN. ¿Y ahora qué?

Si había un correo de recuperación registrado, toquen "Olvidé el PIN" durante el nuevo registro y WhatsApp envía un restablecimiento por correo. Si no, queda bloqueado tras una espera obligatoria de 7 días. Durante esos 7 días, alerten a sus contactos por SMS, correo, Signal o llamadas para que ignoren los pedidos de dinero. Envíen correo a support@whatsapp.com con asunto "Lost or Stolen Phone". Reporten a cybercrime.gov.in/1930 (India), Action Fraud (Reino Unido), Procon (Brasil) o ecrime.ae (EAU).

¿La verificación en dos pasos es realmente suficiente?

Detiene la estafa pura de compartir el código por completo, porque el atacante también necesita su PIN, que ustedes nunca comparten. WhatsApp nunca llamará ni enviará mensajes pidiendo su PIN, código SMS o información de verificación. Todas las comunicaciones oficiales suceden dentro de la app. Si alguien pide el PIN, es una estafa.

¿Por qué WhatsApp no hace obligatoria la verificación en dos pasos?

La inscripción obligatoria choca con problemas de recuperación y accesibilidad: usuarios en contextos de baja alfabetización, usuarios que cambian de celular con frecuencia, usuarios cuyo correo de recuperación también está comprometido. WhatsApp la marca como muy recomendada con recordatorios dentro de la app pero no la exige. Activarla ustedes mismos es lo único bajo su control.

Lectura relacionada

• Estafa de recarga gratis de TRAI por WhatsApp - el patrón de phishing por WhatsApp que apunta a usuarios de telecomunicaciones indios
• Estafas por teléfono y SMS: cómo funcionan - la familia de ingeniería social por SMS que incluye el secuestro de WhatsApp
• Las seis emociones que explota el phishing - por qué la urgencia, la confianza y la autoridad funcionan incluso con usuarios cuidadosos
• Fatiga de MFA y ataques de spam push - la familia de ataques con códigos de autenticación que incluye compartir el código de WhatsApp

En resumen: el secuestro de WhatsApp con el código de 6 dígitos es una estafa de autenticación de un solo factor disfrazada de vergüenza social. La solución es gratis, toma 60 segundos y está en los ajustes de su cuenta ahora mismo. Abran WhatsApp, Ajustes, Cuenta, Verificación en dos pasos, actívenla, configuren un PIN, agreguen un correo de recuperación. Si un familiar o un amigo alguna vez les escribe pidiendo un código de 6 dígitos "enviado por error", la respuesta siempre es no.