{"id":31507,"date":"2025-10-08T12:24:38","date_gmt":"2025-10-08T10:24:38","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31507"},"modified":"2025-10-08T12:24:38","modified_gmt":"2025-10-08T10:24:38","slug":"whatsapp-phishing-vote","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/whatsapp-phishing-vote\/31507\/","title":{"rendered":"Phishing a trav\u00e9s de WhatsApp con la excusa de una votaci\u00f3n online"},"content":{"rendered":"

\u201c\u00a1Hola! \u00a1Mi sobrina est\u00e1 en un concurso! \u00bfPodr\u00edas votar por ella? Es muy importante para ella\u201d. Los mensajes como este son habituales en WhatsApp, tanto en grupos como en chats privados. Muchas personas con pocos conocimientos de seguridad, sin pensarlo dos veces, hacen clic para ayudar a alguien que en realidad no conocen y terminan perdiendo su cuenta. En una investigaci\u00f3n reciente encontramos una nueva campa\u00f1a de phishing que ya ha afectado a usuarios de WhatsApp en todo el mundo.<\/p>\n

Hoy explicaremos c\u00f3mo funciona el ataque, las posibles consecuencias para las v\u00edctimas y c\u00f3mo evitar convertirte en una de ellas.<\/p>\n

C\u00f3mo funciona el ataque<\/h2>\n

Los ciberdelincuentes se preparan para el ataque creando p\u00e1ginas de phishing convincentes que supuestamente albergan encuestas de votaci\u00f3n leg\u00edtimas. En el siguiente ejemplo, la encuesta es para gimnastas j\u00f3venes, aunque el escenario se puede cambiar f\u00e1cilmente. Las p\u00e1ginas parecen aut\u00e9nticas: incluyen fotos de participantes reales, botones para Votar<\/em> y contadores que muestran cu\u00e1ntas personas han votado. Es probable que al usar inteligencia artificial y kits de phishing<\/a>, los atacantes produzcan f\u00e1cilmente versiones en varios idiomas del mismo sitio: encontramos la misma encuesta en ingl\u00e9s, espa\u00f1ol, alem\u00e1n, turco, dan\u00e9s, b\u00falgaro y otros idiomas.<\/p>\n

Etapa uno: el gancho. <\/strong>En las redes sociales, en los servicios de mensajer\u00eda instant\u00e1nea o por correo electr\u00f3nico, los estafadores usan la ingenier\u00eda social para dirigirte al sitio de votaci\u00f3n falso. El pretexto puede ser muy cre\u00edble y el mensaje puede provenir de un amigo o familiar cuya cuenta ya se ha visto vulnerada. La solicitud generalmente es personalizada: en el primer mensaje, el estafador que se hace pasar por su conocido te pide que votes por un determinado concursante porque es una persona de la que est\u00e1 a cargo, una amistad o un familiar.<\/p>\n

\"Primero,<\/a>

Primero, te atraen a una p\u00e1gina de votaci\u00f3n falsa<\/p><\/div>\n

Etapa dos: la trampa.<\/strong> Cuando haces clic en Votar<\/em>, te lleva a una p\u00e1gina que te solicita que te autentiques r\u00e1pidamente a trav\u00e9s de WhatsApp. Todo lo que necesitas hacer es introducir el n\u00famero de tel\u00e9fono vinculado a tu servicio de mensajer\u00eda instant\u00e1nea.<\/p>\n

A continuaci\u00f3n, te piden el n\u00famero de tel\u00e9fono asociado a tu WhatsApp. Los estafadores incluso fingen preocuparse por tus datos y \"tu tiempo valioso\"<\/a>

A continuaci\u00f3n, te piden el n\u00famero de tel\u00e9fono asociado a tu WhatsApp. Los estafadores incluso fingen preocuparse por tus datos y \u201ctu valioso tiempo\u201d<\/p><\/div>\n

Etapa tres: el ataque<\/strong>. Los atacantes aprovechan la funci\u00f3n de inicio de sesi\u00f3n con c\u00f3digo de un solo uso en WhatsApp\u00a0Web. Ellos introducen el n\u00famero de tel\u00e9fono que proporcionaste y WhatsApp genera un c\u00f3digo de verificaci\u00f3n de un solo uso de ocho caracteres. Los atacantes muestran inmediatamente ese c\u00f3digo en el sitio falso con instrucciones: abre WhatsApp, ve a \u201cDispositivos conectados\u201d e introduce el c\u00f3digo. Para mayor comodidad, hay incluso un bot\u00f3n para copiar el c\u00f3digo al portapapeles.<\/p>\n

Para lograr una \"autorizaci\u00f3n r\u00e1pida y sencilla\" (o sea, una apropiaci\u00f3n de la cuenta de WhatsApp), solo debes introducir el c\u00f3digo que se muestra en el sitio<\/a>

Para lograr una \u201cautorizaci\u00f3n r\u00e1pida y sencilla\u201d (o sea, una apropiaci\u00f3n de la cuenta de WhatsApp), solo debes introducir el c\u00f3digo que se muestra en el sitio.<\/p><\/div>\n

Al mismo tiempo, WhatsApp en tu tel\u00e9fono muestra un mensaje para vincular un nuevo dispositivo introduciendo el c\u00f3digo. Al hacer clic ah\u00ed, se abre una advertencia de que alguien est\u00e1 tratando de conectarse a su cuenta y un campo para introducir el c\u00f3digo.<\/p>\n

Lamentablemente, en su deseo incontrolable de ayudar a un completo extra\u00f1o en el concurso, muchos usuarios no leen con atenci\u00f3n la advertencia de WhatsApp. \u201c\u00bfAlguien quiere vincularse a mi cuenta? Eso es para poder votar, \u00bfqu\u00e9 podr\u00eda salir mal?\u201d Cuando la v\u00edctima descuidada escribe el c\u00f3digo en la aplicaci\u00f3n de su tel\u00e9fono, se activa la sesi\u00f3n web iniciada por los atacantes.<\/p>\n

\"WhatsApp<\/a>

WhatsApp te advierte que alguien est\u00e1 tratando de vincularse a tu cuenta, pero muchos usuarios no leen la advertencia e introducen el c\u00f3digo de verificaci\u00f3n de todos modos<\/p><\/div>\n

Si introduces ese c\u00f3digo, los atacantes obtienen acceso completo a tu WhatsApp, como si hubieras iniciado sesi\u00f3n t\u00fa mismo, por ejemplo, desde un ordenador junto a tu tel\u00e9fono. Los atacantes pueden ver todos tus contactos, leer conversaciones, enviar y eliminar mensajes por ti e incluso tomar el control total de la cuenta. Eso da lugar a m\u00e1s posibilidades de fraude, como extorsionar a tus contactos usando tu identidad o usar tu cuenta para difundir el mismo enlace de phishing que te hizo caer en la trampa.<\/p>\n

Qu\u00e9 hacer si crees que has sido v\u00edctima del hackeo<\/h2>\n

Si sospechas que has ca\u00eddo en la estafa y les has dado acceso a los atacantes a tu cuenta de WhatsApp, lo primero que debes hacer es abrir la configuraci\u00f3n de WhatsApp en tu tel\u00e9fono inteligente y acceder a Dispositivos vinculados<\/em>. All\u00ed ver\u00e1s todos los dispositivos conectados actualmente a tu cuenta. Si ves dispositivos o navegadores desconocidos, haz clic en ellos para desconectarlos de tu cuenta. Haz esto r\u00e1pidamente, antes de que los delincuentes puedan apoderarse por completo de tu cuenta.<\/p>\n

Hemos preparado una gu\u00eda detallada<\/a> para esos casos: en ella se explican ocho indicios de que tu cuenta de WhatsApp ha podido ser hackeada y se proporcionan instrucciones paso a paso sobre c\u00f3mo recuperar el acceso incluso en situaciones dif\u00edciles. Tambi\u00e9n tenemos una gu\u00eda similar para los usuarios de Telegram<\/a>.<\/p>\n

C\u00f3mo impedir que roben tu cuenta de WhatsApp<\/h2>\n