La plataforma de mensajería WhatsApp ha desplegado una serie de medidas técnicas para frenar el avance de la denominada “estafa del código PIN”, un fraude que ha ganado escala global este año. Este método de phishing permite a los atacantes tomar el control total de las cuentas de usuario en cuestión de segundos, utilizando la ingeniería social y la urgencia como herramientas principales para el engaño.
Mecánica del fraude: el código de seis dígitos
El esquema suele iniciarse cuando un usuario recibe un mensaje de un contacto conocido —cuya cuenta ya ha sido comprometida—. El atacante, suplantando la identidad del allegado, solicita con carácter de urgencia un código de seis dígitos que la víctima recibe vía SMS. “El fraude del código de seis dígitos de WhatsApp es un esquema clásico de ‘phishing’”, explicó Paul Bischoff, especialista en seguridad de Comparitech. Al entregar esta cifra, el estafador logra iniciar sesión en otro dispositivo, secuestrando la cuenta y bloqueando al usuario original.
Existen variantes del engaño que incluyen el escaneo de códigos QR maliciosos en sitios web falsos o incluso mediante pegatinas físicas. Bischoff añade que los delincuentes “intentarán presionar a la víctima para que actúe rápido. Cuando alguien se apresura, es más probable que cometa errores”.
Las nuevas barreras de seguridad de Meta
Ante la proliferación de estos casos, Meta introdujo alertas más intrusivas dentro de la aplicación. Ahora, WhatsApp muestra un aviso prominente cuando se detecta un intento de conexión desde una ubicación inusual. Por ejemplo, el sistema puede advertir explícitamente: “Esto conectará tu dispositivo a otro ubicado en Bangkok, Tailandia”. Anteriormente, estas advertencias eran más sutiles y fáciles de ignorar por el usuario promedio.
Además, la empresa está realizando pruebas con advertencias específicas para detectar solicitudes de amistad sospechosas y mensajes con patrones fraudulentos en Messenger, buscando blindar el ecosistema completo de sus aplicaciones.
Recuperación y prevención
En caso de haber caído en la estafa, los expertos señalan que es posible recuperar la cuenta eligiendo la opción de verificación mediante llamada telefónica en lugar de SMS. Esta vía permite eludir el temporizador que los atacantes suelen activar para impedir el restablecimiento del acceso por mensaje de texto.
Para reforzar la seguridad y evitar ser víctima de estos ataques, se recomienda seguir estos pasos:
- Activar la verificación en dos pasos: Dirigirse a Configuración > Cuenta > Verificación en dos pasos > Activar.
- Establecer un código PIN adicional: Funciona como una segunda capa de protección ante cualquier intento de inicio de sesión.
- Vincular un correo electrónico: Esta medida facilita la recuperación de la cuenta en caso de pérdida de acceso o bloqueo.
- No compartir nunca códigos de un solo uso: WhatsApp nunca solicitará códigos de verificación a través de chats de terceros o contactos.
