Eset identifica cinco errores frecuentes que facilitan estafas y robo de cuentas en WhatsApp

El uso extendido de WhatsApp en América Latina, donde la aplicación está presente en más del 90% de los usuarios de internet, elevó la superficie de ataque para estafas digitales. En países como México, la penetración alcanza el 94%, mientras que en Argentina llega al 93%. En ese contexto, los fraudes evolucionaron desde mensajes evidentes del tipo “gane un premio” hacia tácticas de ingeniería social, clonación de cuentas y robo de datos, con objetivos que incluyen tanto a usuarios individuales como a instituciones públicas.

En el centro de ese cambio aparece una constante: el error humano. “El factor humano sigue siendo el eslabón más débil de esta cadena de un ataque”, dijo David Gonzalez, investigador de Seguridad Informática de ESET Latinoamérica. Aunque la plataforma cuenta con cifrado de extremo a extremo, los atacantes buscan que el propio usuario comparta información o ejecute acciones que habilitan el control de la cuenta.

El primer punto que la compañía subraya es la falta de confirmación en dos pasos, una capa extra que reduce el impacto del código de verificación por SMS. “Si entregas el código SMS y no tienes activada la autenticación en dos pasos, el estafador se hace con el control total de tu aplicación en cuestión de segundos.”, dijo Gonzalez. Para activar esa protección, el recorrido indicado es Ajustes > Cuenta > Confirmación en dos pasos, con la creación de una contraseña numérica de seis dígitos y la incorporación de un correo electrónico de recuperación.

El segundo error habitual es hacer clic en enlaces que prometen “ofertas imperdibles”, promociones o premios. La mecánica combina enlaces acortados y textos persuasivos que derivan en páginas que imitan sitios oficiales, donde se cargan datos personales, contraseñas bancarias o información de tarjeta. En otros casos, el clic descarga malware que registra lo que se teclea en el móvil, incluidas credenciales de aplicaciones financieras. Entre los indicios para detectar phishing aparecen promesas exageradas, errores ortográficos, URL extrañas y pedidos de compartir el enlace con diez contactos.

La tercera falla se vincula con la privacidad: dejar la foto de perfil visible para cualquiera. Ese dato, junto al nombre, facilita la suplantación de identidad o “estafa del número nuevo”, en la que se crea una cuenta nueva con información pública y se contacta a familiares para solicitar transferencias urgentes. La configuración sugerida es Ajustes > Privacidad > Foto de perfil y cambiar de “Todos” a “Mis contactos”, además de confirmar la identidad con una videollamada o llamada de audio antes de transferir dinero.

Los otros dos riesgos se apoyan en configuraciones por fuera del chat. El cuarto es no blindar las copias de seguridad en la nube: WhatsApp realiza respaldos automáticos en Google Drive (Android) o iCloud (iPhone), que no quedan protegidos por el mismo cifrado que la app. El quinto es mantener la vista previa de notificaciones en la pantalla bloqueada, lo que puede exponer el código SMS ante un acceso físico. “La mayoría de las estafas de WhatsApp no se basan en tecnologías sofisticadas, sino en simples errores que cometemos con las prisas del día a día.”, concluyó Gonzalez.