Charly Cerebrito
El comportamiento de una cuenta vulnerada de WhatsApp no siempre es evidente. Hay indicadores claros a nivel de sistema y autenticación.
Si la app de Whatsapp te pide verificar tu número sin acción previa de tu parte, es que alguien registró tu cuenta en otro dispositivo y está intentando tener acceso a ella.
Cuando recibís un código de verificación de WhatsApp sin haberlo pedido, es una señal bastante clara de que alguien está intentando entrar a tu cuenta.
Dicho en simple:
Ese código de 6 números que recibes por SMS es como la “llave” para activar tu WhatsApp en otro teléfono.
Si vos no hiciste nada y te llega igual, significa que otra persona puso tu número para tratar de registrarlo.
Ahora, hay dos escenarios:
Intento fallido: Alguien probó ingresar tu número, pero no tiene el código. Mientras no se lo des, no puede entrar.
Intento con engaño (el más común): Después de que te llega el código, alguien te escribe o te llama con alguna excusa tipo: “Te mandé un código por error”, “Soy soporte técnico”, “Necesito verificar tu cuenta”.
Si caés y le pasás ese código, ahí sí le das acceso total a tu WhatsApp.
Dicho en pocas palabras
- Te llega un código sin pedirlo: Estate alerta
- No pasa nada si no lo compartís: estás a salvo
- Si lo compartís: pueden robarte la cuenta
Regla clave (nivel experto, pero fácil), ese código es sólo tuyo, igual que un PIN de tarjeta. Si alguien más lo tiene, puede hacerse pasar por vos.
Dispositivos vinculados que no reconocés indican acceso persistente. Si detectás que hay dispositivos que no son tuyos en los que tu cuenta de WhatsApp Web está abierta, es una señal de alarma.
Debes proceder de inmediato al cierre de esas sesiones para evitar que accedan a la configuración de tu cuenta de Whatsapp y de esta manera te impidas tener acceso o se comuniquen con tus contactos en tu nombre.
¿Cómo saber si está sucediendo?
Abrí WhatsApp y tocá los tres puntos de arriba en Android o ve a "Configuración" en tu iPhone.
Selecciona Dispositivos vinculados y ahí vas a ver todos los dispositivos donde tu cuenta está activa.
Si hay alguno desconocido, tocá sobre ese dispositivo y seleccioná "Cerrar sesión". Esto desconecta al desconocido de inmediato.
¿Qué significa “PIN de verificación en dos pasos”?
En WhatsApp existe una función extra de seguridad llamada verificación en dos pasos. Funciona así:
- Además del código SMS de 6 dígitos, vos creás un PIN personal (otro código de 6 números).
- Ese PIN se pide cada vez que alguien intenta registrar tu cuenta en otro teléfono. Es como una segunda cerradura.
¿Dónde está el problema?
Si cuando intentás entrar a tu WhatsApp te pide un PIN y vos nunca configuraste uno entonces pasa algo importante: Alguien más accedió a tu cuenta y activó ese PIN antes que vos.
Explicado simple con un ejemplo real
Un atacante consigue tu código SMS (te engañó o hizo SIM swapping). Entró a tu WhatsApp desde otro teléfono y activó la verificación en dos pasos creando un PIN que solo él sabe.
Con esto logró tener doble control sobre tu cuenta y vos quedáste bloqueado
Porque no alcanza con recuperar el número y ahora hay una segunda barrera que no controlás.
Es como si te roban la llave de tu casa y además cambian la cerradura.
WhatsApp tiene una salida, pero no es inmediata. Debés intentar ingresar igual a tu Whatsapp con tu número y si no sabés el PIN, poner uno cualquiera y como no lo sabés tenés que esperar 7 días.
Después de ese tiempo el sistema elimina ese PIN y podés recuperar tu cuenta.
Mientras tanto lográs que el atacante pierda acceso cuando vos volvés a registrar el número.
Cómo evitar llegar a ese punto
- Activá vos primero la verificación en dos pasos
- Usá un PIN que recuerdes pero que no sea obvio
- Agregá un email de recuperación
Si vos ya tenés el PIN, un atacante no puede configurar el suyo.
De repente un día comenzás a recibir llamados de contactos preguntándote cosas extrañas, como para que necesitás el dinero que les pediste, si estás bien porqué te comportaste extraño por Whatsapp o si es seguro el link que enviaste, y no entendés porqué.
O simplemente te enterás cuando te encontrás con alguien pidiéndote que le devuelvas el dinero que le pediste.
Esto es una alerta brutal de que tu Whatsapp fue hackeado y están suplantando tu identidad. Esta modalidad puede estar ligada a los hackeos hasta ahora mencionados, pero también puede ser que hayas instalado un spyware en tu smartphone y este se esté encargando de realizar las actividades a tus espaldas.
Podés detectarlo si notas que tu dispositivo está lento, calienta demasiado y la batería le está durando mucho menos de lo que te dura de costumbre.
O simplemente al entrar al Whatsapp observás conversaciones con contactos con los que no recuerdas haber chateado.
El atacante obtiene el código de 6 dígitos mediante engaño. Este sistema:
- No está ligado a hardware, es decir que no hay nada instalado en tu dispositivo.
- Depende del acceso al control de tu número telefónico.
Es el punto más débil del modelo de autenticación.
El sistema multidispositivo permite mantener sesiones activas sin revalidación frecuente por lo que si alguien vinculó tu cuenta a un dispositivo, esta puede estar abierta durante mucho tiempo sin que te enteres (si no controlas periódicamente).
Y cuando el dispositivo se haya vinculado, no recibirás ninguna notificación que te alerte del hecho. Es un acceso silencioso y prolongado.
Es un ataque a través de tu operadora de telefonía.
Con engaños a la compañía telefónica, logran la hacer una transferencia fraudulenta de tú número a otra SIM con lo que acceden y logran una intercepción total de los SMS y llamadas de tu línea.
Esto tiene un impacto crítico: acceso directo completo de seguridad basada en SMS con lo que pueden hackear con facilidad tu cuenta de Whatsapp.
Son aplicaciones que instalas queriendo o sin querer en tu dispositivo con permisos abusivos pueden desde leer notificaciones y registrar entradas,hasta filtrar datos.
Esto tiene un impacto doble: ataque a la privacidad y quita de rendimiento del dispositivo.
- Reinstalá WhatsApp
- Ingresá tu número
- Validá con el código SMS
Esto invalida sesiones activas en otros dispositivos automáticamente.
- Ir a “Dispositivos vinculados”
- Cerrar todas las sesiones desconocidas
Revoca accesos persistentes.
- Configurar PIN de 6 dígitos
- Asociar email seguro
Añade una capa independiente del SMS.
Contactar inmediatamente a la operadora:
- Bloquear SIM fraudulenta
- Recuperar número
Luego:
- Cambiar contraseñas en servicios vinculados (email, banco, redes).
- Revisar apps instaladas
- Eliminar software sospechoso
- Considerar reset de fábrica
Elimina persistencia de malware.
- Avisar a contactos por canales alternativos
Evita propagación de fraude.
- Activar verificación en dos pasos (crítico)
- Nunca compartir códigos SMS
- Revisar sesiones activas periódicamente
- Evitar apps no oficiales (versiones extrañas de WhatsApp)
- Mantener sistema actualizado
- Proteger el dispositivo con biometría o PIN
No directamente. WhatsApp no expone IP ni geolocalización de sesiones activas.
Es el escenario más crítico: el atacante controla el número, recibe OTP y puede tomar la cuenta sin interacción adicional.
No. El cifrado protege los datos en tránsito, no la autenticación. Si acceden a tu cuenta, ven todo.
