El robo de cuentas de WhatsApp mediante el buzón de voz ha pasado de ser una rareza a convertirse en un método que está circulando con fuerza. En muchos casos, ni siquiera es necesario que la víctima pulse en enlaces ni instale nada: basta con que el código de verificación acabe en el contestador y el atacante sepa cómo escucharlo. En esta guía te explicamos con detalle cómo operan, qué señales deben ponerte en alerta y, sobre todo, cómo blindarte para que no te pase. La idea clave: el buzón de voz mal configurado es una puerta abierta.
Organismos como INCIBE y diferentes policías han detectado un repunte de este engaño y han descrito paso a paso su mecánica. La técnica combina ingeniería social con descuidos comunes (buzones con PIN por defecto, llamadas perdidas internacionales, líneas ocupadas) para registrar tu número en otro móvil. Si el código de WhatsApp acaba grabado en tu buzón y el atacante accede a él, la cuenta cae.
¿Qué está pasando y por qué funciona?
El punto de partida es siempre el registro de tu número en un dispositivo ajeno. WhatsApp, como medida de seguridad, envía un código de seis dígitos por SMS o llamada. Si no contestas, la app ofrece reenviarlo mediante una llamada de voz y, si sigue sin ser atendida, el mensaje con el código se graba en el buzón. Ahí es donde muchos ciberdelincuentes ponen el foco.
¿Por qué les resulta tan fácil? Porque gran parte de los buzones de voz vienen activos por defecto y protegidos con PIN débiles o predeterminados (como 0000 o 1234). Con ese escenario, el atacante puede llamar a tu número, entrar al buzón desde otra línea y escuchar el audio con el código de verificación. Una configuración descuidada permite que cualquiera que adivine el PIN entre como si fueras tú.
Un caso real que destapa el truco
Desde la Línea 017 de INCIBE atendieron a una mujer adulta que perdió el control de su WhatsApp tras recibir llamadas de números extranjeros (Alemania e Inglaterra) que no contestó. Al rato, en su buzón apareció un mensaje con un código de verificación de inicio de sesión de WhatsApp y también una llamada perdida que había terminado en el contestador. La víctima sospechó porque a un amigo suyo le había ocurrido lo mismo el día anterior.
La hipótesis es clara: los atacantes podrían haber sacado su teléfono de la agenda del amigo que ya habían comprometido y, acto seguido, intentaron registrar su WhatsApp. Con el código depositado en el buzón y un PIN débil, el acceso al contestador fue coser y cantar. Es una cadena: roban a uno, cosechan contactos y prueban con el resto.
Paso a paso del fraude del buzón de voz
- El atacante inicia el registro de tu número en otro teléfono. WhatsApp dispara el envío del código.
- Si no lees el SMS o no respondes a la llamada, el sistema ofrece una verificación por llamada de voz. La llamada no atendida termina en el buzón.
- El contestador graba el audio con el código de seis dígitos. Esa grabación se queda disponible en tu buzón.
- El delincuente llama a tu número para entrar en el buzón y escuchar los mensajes; si el PIN es débil o predeterminado, lo adivina. Recupera el código del audio.
- Con el código en la mano, completa el registro en su móvil y tumba tu sesión. Tu cuenta queda bajo su control.
Para aumentar sus probabilidades, suelen forzar que no puedas contestar: te llaman varias veces seguidas para ocupar la línea, eligen horas nocturnas cuando no atenderás, o incluso se benefician si tienes el móvil apagado o en modo avión. El objetivo es que la voz con el código aterrice sí o sí en el buzón.
Qué hacen después con tu cuenta
Una vez dentro, suplantan tu identidad en chats y grupos, piden dinero con excusas urgentes o lanzan enlaces maliciosos apoyándose en la confianza que inspiras a tus contactos. En paralelo, pueden revisar contenido sensible que tengas en los chats, como fotos o conversaciones, con fines de extorsión. Tu número y tu nombre pasan a ser la coartada perfecta.
Además, muchas veces activan la verificación en dos pasos para bloquearte el retorno inmediato. Si lo hacen, aunque intentes recuperar la cuenta, puede que no puedas iniciar sesión hasta pasados siete días sin ese PIN. El tiempo juega a su favor si no reaccionas con rapidez.
Otros métodos frecuentes de robo en WhatsApp
Junto al truco del buzón de voz, sigue vigente el engaño directo: un contacto (o alguien que se hace pasar por él) te escribe diciendo que te envió por error un código de 6 dígitos y te pide que se lo reenvíes. En cuanto lo compartes, pierdes el control de la cuenta. Nunca compartas códigos de verificación con nadie, ni siquiera con familiares.
Otra amenaza real es la . Si un delincuente logra tramitar un duplicado en una tienda poco diligente, recibe tus SMS y llamadas de verificación, además de tener vía libre a tu buzón de voz. La identidad mal verificada en el operador abre la puerta a múltiples fraudes.
Señales claras de que te han quitado la cuenta
- Te aparece un aviso de que tu número se ha registrado en otro dispositivo, o directamente no puedes entrar. El sistema te expulsa sin que hayas hecho nada.
- Tus contactos dicen recibir mensajes raros a tu nombre pidiendo dinero, o ven comportamientos extraños en grupos. Las alertas de terceros son oro.
- Cambios en tu foto, estado o información de perfil que tú no has hecho, o mensajes marcados como leídos que no has abierto. Pequeños detalles que delatan actividad ajena.
- Sesiones abiertas en WhatsApp Web o Escritorio que no reconoces, o el sistema te pide verificar el número sin motivo aparente. La presencia de dispositivos desconocidos es un síntoma claro.
Qué hacer si ya te han robado la cuenta
Actúa rápido. Lo primero es intentar registrar de nuevo tu número en la app para forzar el cierre de sesión en el dispositivo intruso. Al introducir el nuevo código de seis dígitos que recibas, el atacante es expulsado. La reactivación inmediata suele cortar la suplantación de raíz.
Si el delincuente ha activado la verificación en dos pasos y no tienes su PIN, quizá no puedas entrar de inmediato. En ese caso, deberás esperar hasta siete días para poder iniciar sesión sin ese PIN. Durante ese plazo, céntrate en contener daños y avisar a tus contactos.
Contacta con tu operadora si has perdido el móvil o sospechas de duplicado de SIM para bloquear la línea y evitar nuevas verificaciones. Revisa también, cuando recuperes el acceso, los dispositivos vinculados en WhatsApp Web/Escritorio y cierra todos los que no reconozcas. Controla las puertas de entrada que pudieran haber quedado abiertas.
Escribe a support@whatsapp.com explicando lo ocurrido y solicitando ayuda. Si no recibes respuesta o no es satisfactoria, puedes dirigirte al delegado de protección de datos de WhatsApp y, si pasado un mes no tienes solución, presentar reclamación ante la Agencia Española de Protección de Datos. Escala por la vía de protección de datos cuando la atención no sea adecuada.
Guarda pruebas: pantallazos, mensajes sospechosos, correos, números llamantes, fechas y horas. Presenta denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, indicando que han suplantado tu identidad y detallando posibles fraudes a terceros. La trazabilidad de las evidencias es clave para investigar y cortar el fraude.
Cambia de inmediato el PIN de tu buzón de voz o desactívalo si no lo usas; no accedas a chantajes ni pagues rescates y corta la comunicación con el atacante. Informa a tus contactos para que ignoren mensajes pidiendo dinero o datos. Reduce el impacto avisando cuanto antes a todo tu entorno.
Si necesitas apoyo, INCIBE te atiende en la Línea de Ayuda 017 todos los días de 08:00 a 23:00. En Ciudad de México, la Policía Cibernética de la SSC ofrece asistencia 24/7 en el 55 5242 5100 ext. 5086, en el correo policia.cibernetica@ssc.cdmx.gob.mx y en sus perfiles oficiales. No estás solo: hay canales públicos para asesorarte y actuar.
Cómo blindar tu cuenta para que no vuelva a pasar
Activa la verificación en dos pasos en WhatsApp (ruta: Ajustes > Cuenta > Verificación en dos pasos) y establece un PIN que solo tú conozcas. Añade un correo de recuperación para no perder el control si olvidas el PIN. Esta capa extra frena registros no autorizados incluso si roban tu código inicial.
Fortalece tu buzón de voz: cambia el PIN predeterminado por uno robusto, evita fechas de nacimiento o secuencias fáciles y, si no lo usas, valora desactivarlo. Tu operador te guiará; en algunos casos la configuración se inicia marcando *86 desde el móvil. Un buzón bien configurado corta el acceso al audio con el código.
Jamás compartas el código de verificación de seis dígitos con nadie, por muy convincente que suene la historia (ni amigos ni familiares). Si alguien te escribe con prisas pidiéndote ese código, llama a esa persona por teléfono y verifica la situación. Contrasta por una vía distinta lo que te pidan por chat.
Endurece tu privacidad: limita quién ve tu foto de perfil a Mis contactos, revisa tu información visible y desconfía de mensajes con urgencias económicas. Antes de cualquier transferencia, cuelga y devuélveles la llamada al número que ya tienes guardado para confirmar. La prudencia corta muchas estafas de raíz.
Mantén tu móvil protegido con bloqueo de pantalla, actualiza el sistema y la app, evita pinchar en enlaces sospechosos y revisa periódicamente los dispositivos vinculados. Considera soluciones de seguridad reputadas si te ayudan a detectar comportamientos anómalos. La higiene digital diaria es el mejor seguro.
Si crees que te están intentando engañar ahora mismo
Recibes varias llamadas seguidas, muchas de números internacionales, y cuando devuelves la llamada nadie responde; acto seguido aparece una llamada de WhatsApp que no atiendes y, al poco, notas que hay un nuevo mensaje en tu buzón. Corta por lo sano: no escuches el buzón hasta cambiar el PIN y no respondas a mensajes que te pidan códigos. Rompe la cadena donde el atacante espera que caigas.
Si la línea está constantemente ocupada porque te están bombardeando a llamadas, activa temporalmente el desvío del buzón o apaga el buzón por completo con ayuda del operador. Después, reanuda el servicio con un nuevo PIN robusto. Quita del medio el eslabón débil, aunque sea de forma temporal.
Consejos institucionales y vías de reclamación
Las recomendaciones de organismos como INCIBE pasan por avisar a todos tus contactos, contactar con soporte de WhatsApp, acudir al delegado de protección de datos si no te responden y, en última instancia, reclamar ante la AEPD si transcurre un mes sin solución. Paralelamente, denuncia los hechos en Policía o Guardia Civil y aporta todas las pruebas. La vía técnica y la legal deben caminar a la par.
Autoridades locales, como la Policía Cibernética de la SSC en Ciudad de México, enfatizan activar la verificación en dos pasos, configurar correctamente el buzón, usar NIP fuertes y evitar compartir información sensible por mensajería. También recomiendan cerrar sesiones en dispositivos no utilizados o extraviados. La prevención es la mejor defensa ante estos fraudes.
Sobre la calidad de la información que consultas
Algunos portales incluyen encuestas para valorar su contenido (diseño, navegación, claridad, organización, lenguaje). Más allá de esa autoevaluación, tú también puedes aplicar esos criterios cuando leas guías de seguridad: busca textos claros, bien organizados y con lenguaje comprensible. La información fiable y precisa te ayuda a decidir mejor bajo presión.
- Diseño y navegación: que te permita encontrar rápido lo importante.
- Claridad y precisión: que explique el fraude sin tecnicismos innecesarios.
- Organización: que diferencie prevención, detección y respuesta.
- Lenguaje: que sea cercano, directo y sin ambigüedades.
Recordatorio final de buenas prácticas
Antes de atender una llamada de voz de verificación, piensa si has iniciado tú ese proceso; si no, sospecha. Evita dejar llamadas de verificación sin atender cuando realmente estés intentando registrar tu cuenta (para que no acaben en el buzón) y, si no estás registrando nada, ignóralas y revisa tu buzón solo después de cambiar el PIN. La coherencia entre lo que haces y lo que llega a tu móvil es tu brújula.
Si un amigo te pide dinero por WhatsApp, aunque suene a su forma de hablar, detente, llama y valida. Si te avisan de actividad rara en tu perfil, investiga de inmediato: revisa dispositivos vinculados, cambia contraseñas relacionadas y toma medidas preventivas. La verificación fuera del chat corta muchos fraudes aparentes.
Proteger WhatsApp no es complicado si atacas los puntos débiles conocidos: activa la verificación en dos pasos, refuerza o desactiva el buzón de voz, nunca compartas códigos, vigila señales de suplantación y, si ocurre, reacciona sin tardanza mientras avisas a tu entorno y a las autoridades. Con cuatro medidas bien puestas, este engaño se queda sin recorrido. Comparte esta guía parta que más personas aprendan a gestionar sus cuentas de whatsApp y evitar que se la roben.