- WhatsApp se consolida en 2025 como uno de los principales canales de fraude digital, según firmas como Check Point.
- Destacan estafas como el fraude del “hijo en apuros”, el Ghost Pairing y el secuestro de cuentas mediante códigos.
- Ganan peso la suplantación de organismos oficiales, grandes marcas y campañas que empiezan en plataformas legítimas.
- La mejor defensa pasa por desconfiar de mensajes inesperados, no compartir códigos y activar medidas extra de seguridad.
En 2025, WhatsApp se ha convertido en un auténtico imán para los ciberdelincuentes. La combinación de inmediatez, cercanía entre contactos y sensación de confianza hace que millones de personas bajen la guardia ante mensajes que, a simple vista, parecen normales.
Los expertos en ciberseguridad advierten de que las estafas por WhatsApp se han disparado y, además, se han vuelto más creíbles y sofisticadas. Desde suplantaciones de hijos en apuros hasta el secuestro silencioso de cuentas, los fraudes se apoyan en emociones como el miedo, la urgencia o la preocupación por la familia para lograr que el usuario actúe sin pensar.
WhatsApp, uno de los grandes focos de fraude digital
Firmas especializadas como Check Point Software sitúan a WhatsApp entre los principales vectores de fraude digital en 2025, tanto en España como en el resto de Europa. La aplicación, con más de 3.000 millones de usuarios en todo el mundo, se usa ya como canal de inicio del engaño o como paso final para rematar la estafa.
Los delincuentes explotan tres ingredientes clave de la mensajería instantánea: confianza, rapidez e inmediatez. Al sacar la conversación de entornos más controlados (como el correo corporativo o las webs oficiales) y llevarla a WhatsApp, es más fácil que la víctima relaje las precauciones y siga instrucciones sin comprobar demasiado.
Según los analistas, muchas campañas de fraude comparten un mismo patrón: comienzan con un mensaje alarmante (una multa, un bloqueo de cuenta, un familiar con problemas) y dirigen al usuario a WhatsApp o continúan allí la conversación, donde se le pide dinero, datos personales o códigos de verificación.
En España, los casos más repetidos incluyen engaños vinculados a bancos, organismos públicos como la DGT y plataformas de comercio electrónico. En todos ellos, el objetivo final es el mismo: robar dinero, tomar el control de la cuenta o conseguir credenciales para nuevos fraudes.
El fraude del “hijo en apuros”: el clásico que sigue funcionando
Entre las estafas por WhatsApp más comunes en 2025 sigue en cabeza el conocido fraude del “hijo en apuros”, especialmente dañino por el impacto emocional que genera en familias y personas mayores.
El esquema es sencillo pero muy efectivo: la víctima recibe un mensaje desde un número que no tiene guardado. Quien escribe dice ser su hijo o hija, explica que ha cambiado de móvil porque se le ha roto o se lo han robado y que, por culpa de ese imprevisto, necesita dinero de forma urgente para pagar una reparación, una multa, un billete o cualquier otra excusa creíble.
La clave está en que el mensaje apela a preocupación y urgencia. El estafador insiste en que no puede hablar por teléfono o enviar audios, o finge estar en un sitio ruidoso, y presiona para que la transferencia se haga cuanto antes, a menudo a través de Bizum u otros métodos de pago inmediato.
Al aprovechar el vínculo afectivo, muchas víctimas no verifican la identidad por otro canal. Los expertos recomiendan siempre llamar al número antiguo del familiar, comprobar con otros parientes o hacer una videollamada antes de enviar un solo euro.
Videollamadas falsas y pantallas compartidas
Otra modalidad que ha ganado peso en España es la estafa por videollamada falsa. En este caso, los delincuentes se hacen pasar por técnicos del banco, personal de soporte de WhatsApp o incluso por un familiar, utilizando números que parecen locales o de confianza.
Durante la llamada, los estafadores alegan que existe un problema urgente con la cuenta bancaria o con el propio WhatsApp: cargos sospechosos, bloqueos, intentos de acceso no autorizados, etc. Para “solucionarlo”, piden a la víctima que comparta la pantalla del móvil o que siga una serie de pasos rápidos.
En cuanto el usuario comparte pantalla, los atacantes pueden ver códigos que llegan por SMS, contraseñas, notificaciones de seguridad e incluso acceder a apps bancarias. A partir de ahí, pueden tomar el control de la cuenta de WhatsApp o forzar transferencias sin que la persona afectada sea plenamente consciente.
Los especialistas recuerdan que ningún banco ni servicio legítimo necesita que compartas tu pantalla por WhatsApp o que dictes códigos de seguridad en una llamada. Si alguien lo pide, aunque suene convincente, lo prudente es colgar y llamar al número oficial de la entidad.
La estafa del código de seis dígitos y el secuestro de cuentas
Entre los fraudes más repetidos está también la estafa del código de seis dígitos, directamente vinculada al secuestro de cuentas. El mecanismo suele ser este: el usuario recibe un SMS con el código de verificación de WhatsApp y, casi al momento, un mensaje dentro de la propia app en el que alguien, haciéndose pasar por soporte técnico o por un contacto, le pide que reenvíe ese código “para proteger la cuenta”.
Ese código de seis cifras sirve, en realidad, para activar WhatsApp en otro dispositivo. Si la víctima lo comparte, pierde el acceso a su cuenta, mientras el ciberdelincuente puede leer las conversaciones, cambiar la foto de perfil y escribir a amigos y familiares pidiendo dinero o más datos personales.
Existe una variante muy similar conocida como secuestro de WhatsApp desde un contacto de confianza. En lugar de hacerse pasar por la propia aplicación, el estafador utiliza la cuenta de un amigo o familiar ya comprometida para pedir el código, con mensajes del tipo “me he equivocado, te ha llegado por error, pásamelo”.
En ambos casos, la recomendación es tajante: jamás compartir códigos de verificación ni contraseñas, aunque el mensaje parezca venir de alguien conocido. Activar la verificación en dos pasos en WhatsApp añade una capa extra que complica este tipo de ataques.
Ghost Pairing: el robo silencioso de la cuenta
Uno de los métodos que más preocupa a los expertos es el llamado “Ghost Pairing” o emparejamiento fantasma, una forma de secuestro silencioso de cuentas que aprovecha la función de vincular WhatsApp a varios dispositivos.
En esta modalidad, la víctima suele recibir un enlace enviado por un contacto aparentemente legítimo, a menudo para “ver una foto”, “descargar un documento” o acceder a una supuesta promoción. Al pulsar, se le redirige a una página que imita a un servicio oficial o a la propia web de WhatsApp.
En esa página fraudulenta se solicita introducir el número de teléfono, un código recibido por SMS o escanear un código QR. Si el usuario cumple los pasos sin sospechar, en realidad está autorizando a que su cuenta de WhatsApp quede vinculada a un dispositivo controlado por el estafador.
A partir de ese momento, el ciberdelincuente puede leer los mensajes, enviar textos a los contactos o participar en grupos como si fuera la víctima, todo ello sin necesidad de robar la SIM ni conocer la contraseña del móvil. De ahí que se hable de un “secuestro silencioso”, ya que el usuario puede tardar en darse cuenta de que alguien más maneja su cuenta.
Suplantación de organismos oficiales y grandes marcas
Otro bloque importante de fraudes en 2025 está relacionado con la suplantación de organismos públicos y empresas muy conocidas. Los mensajes pueden llegar por SMS, correo o directamente por WhatsApp, pero el objetivo suele ser el mismo: llevar la conversación a la app para cerrar el engaño.
En España se han detectado numerosos casos en los que los atacantes se hacen pasar por la DGT u otros organismos oficiales, alertando de supuestas multas pendientes, incidencias administrativas o bloqueos de carnet que exigen una respuesta urgente. A menudo se incluye un enlace que, en lugar de dirigir a la web real, lleva a páginas de phishing creadas para robar datos.
De forma similar, circulan mensajes que imitan comunicaciones de grandes marcas y plataformas digitales como servicios de comercio electrónico, mensajería o streaming. Se habla de pedidos retenidos, cargos extraños en la cuenta o paquetes que no se pueden entregar si el usuario no actualiza sus datos.
En ambos supuestos, el objetivo final es conseguir credenciales de acceso, datos bancarios o controlar la cuenta de WhatsApp para seguir estafando a otros contactos. Los logos, colores y textos están cada vez más conseguidos, por lo que conviene revisar con lupa la dirección web y nunca introducir datos sensibles desde enlaces recibidos por mensaje.
Campañas que comienzan fuera de WhatsApp
No todas las estafas arrancan dentro de la propia aplicación. Algunas de las campañas más sofisticadas empiezan en plataformas perfectamente legítimas, como Facebook, TikTok o incluso servicios educativos online, para generar confianza en la víctima.
La división de inteligencia de amenazas de Check Point ha detectado, por ejemplo, una campaña masiva de phishing que utilizaba Google Classroom como gancho inicial. Los delincuentes enviaban invitaciones falsas a clases o cursos que parecían oficiales y, una vez se establecía el primer contacto, redirigían a las víctimas a WhatsApp.
Una vez en la app de mensajería, el entorno es menos controlado y los cibercriminales pueden desplegar con más facilidad peticiones de dinero, recopilación de datos personales o enlaces a webs fraudulentas. Este patrón de “atraer fuera y rematar dentro de WhatsApp” se repite en distintos esquemas de fraude.
En redes sociales también proliferan tiendas de comercio electrónico falsas y supuestas promociones espectaculares que, tras unos pocos pasos, acaban llevando al usuario a un chat de WhatsApp para cerrar la operación. Allí se le piden adelantos, datos de pago o fotografías de documentos que nunca deberían compartirse.
Cómo protegerse de las estafas por WhatsApp
Ante este panorama, los especialistas en ciberseguridad insisten en que la prevención y el sentido crítico son las mejores defensas. Ninguna entidad seria se comunica solo por WhatsApp para pedir códigos, claves, datos bancarios o pagos urgentes.
Como pautas generales, recomiendan desconfiar de todo mensaje inesperado, especialmente si apela a la urgencia, al miedo o a la emoción. Aunque parezca provenir de un amigo, un familiar, un banco o un organismo oficial, conviene tomarse un minuto para analizar el contenido con calma.
Ante cualquier duda, lo más prudente es verificar la identidad del remitente por otro canal: llamar al número de siempre, buscar el teléfono oficial de la entidad, comprobar la información en la web real o preguntar a otros familiares si conocen la situación.
También es esencial evitar pulsar en enlaces acortados o sospechosos que lleguen por WhatsApp, especialmente si prometen premios, devoluciones rápidas, sorteos, descuentos imposibles o resoluciones exprés de multas y problemas bancarios.
Por último, los expertos aconsejan mantener la aplicación siempre actualizada, activar la verificación en dos pasos, revisar periódicamente los dispositivos vinculados a la cuenta y cerrar sesión en aquellos que no se reconozcan. Estas medidas no eliminan el riesgo por completo, pero sí dificultan mucho el trabajo de los estafadores.
El auge de estafas por WhatsApp cada vez más realistas demuestra que los ciberdelincuentes han encontrado en la aplicación un terreno muy fértil para la ingeniería social. Conocer cómo funcionan fraudes como el “hijo en apuros”, las videollamadas falsas, el Ghost Pairing o las suplantaciones de organismos y marcas permite reaccionar a tiempo: parar, desconfiar, comprobar por otros medios y, si algo no encaja, no hacer caso al mensaje ni facilitar información sensible.
