WhatsApp se ha convertido este 2025 en el canal digital favorito para los ciberdelincuentes. Y además, con toda lógica: una plataforma que cada uno de nosotros tenemos en el bolsillo, sencilla de utilizar y a la que nos exponemos emocionalmente. Factores determinantes para que una estafa alcance su objetivo rápidamente.
Los organismos oficiales de seguridad han dado buena cuenta de ello. El FBI, por ejemplo, ha registrado más de 5.100 quejas relacionadas con fraudes por WhatsApp, donde se suman pérdidas por un valor total de 262 millones de dólares. Además, Gen Digital, Check Point Research y la NCSC británica han documentado 3 técnicas que están consiguiendo llegar al bolsillo de los usuarios, y España no se libra de dichas estafas.
Hablamos de ataques que explotan las características de WhatsApp, que usan IA para clonar voces y que se distribuyen a través de plataformas como Google Classroom. Por ello es importante entender cómo funciona todo este mecanismo.
La estafa del hijo en apuros
Esta estafa no es nueva, pero sí ha sufrido una evolución con IA que muchos no han visto venir. El INCIBE detectó la primera oleada a principios de 2025, y ahora ha evolucionado con el uso de la IA. Los ciberdelincuentes utilizan la inteligencia artificial para clonar voces de familiares reales. Un mecanismo simple pero efectivo. La víctima recibe un mensaje de audio de WhatsApp desde cierto número, en que aparenta ser su hijo o hija en una situación desesperada. Simula un accidente de tráfico, un robo o cualquier emergencia. Su tono es nervioso, y el familiar cae en las garras del horror.
El investigador Oliver Devane, de McAfee, advierte que los modelos de clonación actuales solo necesitan 3 segundos de nuestro audio para crear imitaciones realistas. De hecho, este material puede incluso cogerse de TikTok, un vídeo de YouTube público o una llamada sin respuesta. No necesitan robar nuestro número, solo nuestra voz.
«Ghost pairing»
Este mismo mes de diciembre, Gen Digital ha descubierto una campaña llamada «Ghost Pairing» que permite que los delincuentes secuestren cuentas de WhatsApp sin robar contraseñas, tarjetas SIM ni códigos SMS. Tan solo basta con convencer al usuario de vincular un dispositivo.
El ataque comienza con un mensaje de un contacto conocido. Algo del tipo «He encontrado tu foto». El mensaje incluye un enlace que genera una vista previa dentro de WhatsApp. En cuanto la víctima pulsa en él, la página pide al usuario de «verifique» su identidad para ver la foto. Pero en realidad la página falsa se está comunicando con WhatsApp para generar un código de vinculación que parece una medida de seguridad formal. Por último, el usuario mete ese código en WhatsApp, creyendo que está completando una verificación de 2 factores. Pero en realidad está autorizando al navegador del atacante como dispositivo vinculado. Por lo que, desde ese momento, el delincuente puede acceder a todas nuestras conversaciones y datos de WhatsApp.
Suplantación de Amazon, Netflix y Google
El FBI publicó una alerta oficial el pasado 19 de noviembre donde se informaba sobre un patrón sistemático de estafas «account takeover». El mecanismo de esta estafa es sencillo. El delincuente se comunica por SMS, llamada de teléfono o WhatsApp suplantando a Amazon, Netflix, PayPal o cualquier gigante. En el mensaje, se nos alerta sobre una supuesta «transacción fraudulenta», «cuenta bloqueada» o «pago rechazado urgente». Utilizando un tono profesional y que genera alarma.
En ese mismo mensaje, se ofrece un enlace para que podamos verificar la identidad o solucionar el supuesto problema correspondiente. Y en él, se nos lleva a un clon de cualquiera de estos sitios oficiales. Cuando la víctima ingresa sus datos en la web, el delincuente se hace con ellos.
