Robo de cuentas de WhatsApp y Telegram: cómo protegerse de las estafas

Analizamos todos los métodos de secuestro de WhatsApp, Telegram y otras cuentas de mensajería, desde el quishing hasta los regalos falsos y los virus, además de las formas de protegerse contra ellos.

Ciberdelincuentes de todo el mundo siguen perfeccionando sus estrategias para robar cuentas en WhatsApp, Telegram y otras aplicaciones populares de mensajería instantánea, y cualquiera de nosotros puede caer en sus estafas. Solo después de ser víctima de un ataque de este tipo se puede apreciar plenamente lo vital que se volvieron los servicios de mensajería instantánea como herramienta, y lo diversos que pueden ser los daños derivados de piratear una cuenta de WhatsApp o Telegram. Sin embargo, es mejor evitar estos ataques y aprender a reconocer las estafas de secuestro de claves para prevenirlas a tiempo.

¿Por qué secuestrar tu cuenta de WhatsApp o Telegram?

Una cuenta robada puede ser atractiva por su contenido, derechos de acceso o simplemente por el hecho de estar verificada, vinculada a un número de teléfono y tener una buena reputación. Después de robar tu cuenta de Telegram o WhatsApp, los ciberdelincuentes pueden utilizarla de diversas formas:

  • Para enviar spam y mensajes de phishing en tu nombre a todos tus contactos, incluidos los canales privados y las comunidades.
  • Para escribirles historias conmovedoras a todos tus amigos pidiéndoles dinero. Lo que es peor, podrían utilizar IA para falsificar un mensaje de voz o vídeo pidiendo ayuda.
  • Para robar cuentas de tus amigos y familiares pidiéndoles que voten en un concurso que ofrece como “premio” una suscripción falsa a Telegram Premium o mediante alguna otra estrategia fraudulenta de las muchas que hay. Al venir de alguien que el destinatario conoce, este tipo de mensajes suelen inspirar más confianza.
  • Para secuestrar un canal de Telegram o una comunidad de WhatsApp que administras.
  • Para chantajearte con el contenido de tus chats, sobre todo si hay sexting u otros mensajes comprometedores.
  • Para leer tus chats discretamente, lo que puede tener un valor estratégico si eres empresario, político, militar, agente de seguridad o funcionario.
  • Para cargar una nueva fotografía a tu cuenta, cambiar tu nombre y utilizar tu cuenta para estafas dirigidas: desde coquetear con criptoinversores (matanza de cerdos) hasta solicitudes del jefe de la víctima (estafas del CEO).

Debido a esta variedad de aplicaciones, los delincuentes necesitan cuentas nuevas todo el tiempo, y cualquiera puede convertirse en víctima.

Quishing en WhatsApp, Telegram y QQ

Los estafadores solían robar cuentas engañando a las personas para obtener códigos de verificación de texto (necesarios para iniciar sesión) o interceptando esos códigos. Pero como este método ya no es tan eficaz, se está optando por intentar vincular un dispositivo adicional a la cuenta de la víctima. Esto funciona mejor cuando se utilizan mecanismos de phishing basados en códigos QR, conocidos como quishing.

Los atacantes colocan sus propios anuncios o pegan cuidadosamente códigos QR maliciosos encima de los de otras personas para superponer el código auténtico. También pueden imprimir un código QR en un folleto y colocarlo en un buzón, publicarlo en una red social o un sitio web, o simplemente enviarlo por correo electrónico. La excusa puede ser lo que se te ocurra: una invitación a participar en un chat de vecinos, a conectarse a una comunidad de oficina, campus o escuela, a descargarse el menú de un restaurante o solicitar un descuento, o a consultar los horarios de los cines o información adicional sobre películas y otros eventos.

El código por sí solo no puede hacer que secuestren tu cuenta, pero puede llevarte a un sitio web fraudulento que contiene instrucciones detalladas sobre dónde hacer clic en la aplicación de mensajería instantánea y qué hacer después. El sitio te muestra otro código QR, generado dinámicamente, que el servidor de los atacantes le solicita a WhatsApp o Telegram cuando le pide al servicio que vincule un nuevo dispositivo a tu cuenta. Si tú, decidido a disfrutar de todas las ventajas que te ofrece la civilización, decides que otro código no te hará daño y sigues las instrucciones, entonces el dispositivo de los atacantes obtendrá acceso a todos tus datos en la aplicación. De hecho, podrás verlo en las secciones “Dispositivos” o “Dispositivos vinculados” de Telegram o WhatsApp, respectivamente.

Sin embargo, este ataque está diseñado para aquellos que no están muy familiarizados con la configuración de la aplicación de mensajería instantánea y que quizás no revisen dichos submenús regularmente. Por cierto, los usuarios de QQ, la aplicación de mensajería instantánea más popular de China, también son blanco de ataques similares.

Encuestas maliciosas, regalos fraudulentos y chicas… desnudas

Aparte de los códigos QR, los estafadores también pueden atacarte enviándote enlaces aparentemente inofensivos, como los de “votaciones populares”, loterías instantáneas o sorteos. En Telegram, suelen imitar la interfaz utilizada para recibir una suscripción Premium como regalo.

Normalmente, se llega a estas páginas a través de mensajes de amigos o conocidos cuyas cuentas ya se vieron vulneradas por los mismos estafadores. La página de inicio siempre está repleta de frases pegadizas como “vota por mí” y “reclama tu regalo”.

Una variante de la estafa implica mensajes de un “servicio de seguridad de aplicaciones de mensajería instantánea”. Es posible que alguien se comunique contigo usando un nombre como “Seguridad” o “Equipo de seguridad de Telegram”. Ofrecen proteger tus datos transfiriendo tu cuenta a una cuenta segura haciendo clic en un enlace y activando las “opciones avanzadas de seguridad”.

Por último, podrías recibir un anuncio de un servicio o bot que ofrezca algo útil o divertido, como un chatbot de IA… generador de desnudos.

Hay otro escenario potencial de estafa que involucra a Telegram: desde 2018, el servicio les ofrece a los propietarios de sitios web la autenticación de los visitantes mediante el widget de inicio de sesión de Telegram. Es un sistema real que funciona, pero los estafadores se aprovechan de que poca gente sabe cómo se supone que debe funcionar esta autenticación; entonces, la sustituyen por una página de phishing para robar información.

En cualquiera de estos escenarios, una vez que pasas por la tentadora página de inicio, se te pedirá que “inicies sesión en tu aplicación de mensajería instantánea”. Este procedimiento puede consistir en escanear un código QR o simplemente introducir el número de teléfono y el código OTP en el sitio web. Esta parte del sitio web suele disfrazarse de interfaz de autenticación estándar de WhatsApp o Telegram, lo que crea la ilusión de que fuiste redirigido al sitio web oficial para iniciar sesión.

En realidad, todo el proceso ocurre en el propio sitio de los atacantes. Si accedes e introduces los datos o escaneas el código, los ciberdelincuentes obtendrán inmediatamente el control de tu cuenta de la aplicación de mensajería instantánea. ¿Tu única recompensa? Algún tipo de mensaje de agradecimiento que diga que tu suscripción premium se activará en 24 horas (no pasará; ¿quién lo hubiera pensado?).

Cómo piratear un teléfono inteligente con una aplicación falsa de WhatsApp o Telegram

Una forma antigua pero eficaz de secuestrar cuentas es utilizar mods con troyanos, es decir, versiones modificadas de aplicaciones de mensajería instantánea. Esta amenaza es especialmente relevante para los usuarios de Android. En foros, grupos de chat o simplemente en los resultados de las búsquedas, puedes encontrar anuncios que promocionan versiones “mejoradas” de las aplicaciones de mensajería instantánea más populares. Los mods de WhatsApp suelen prometer la posibilidad de leer los mensajes borrados y ver los estados de quienes los ocultaron, mientras que a los seguidores de Telegram les prometen funciones Premium gratuitas.

Descargar e instalar un mod como este infecta el teléfono con malware que puede robar la cuenta de mensajería instantánea junto con todos los demás datos del dispositivo. Curiosamente, los usuarios de Android pueden encontrar mods infectados con spyware incluso en el “Lugar Santísimo”: la tienda oficial de Google Play.

¿Qué les pasa a las cuentas de Telegram o WhatsApp secuestradas?

El destino de la cuenta secuestrada depende de las intenciones de los atacantes. Si su objetivo es el espionaje o el chantaje, simplemente descargarán rápidamente todos tus chats para analizarlos, y es posible que no notes nada en absoluto.

Si los cibercriminales desean enviar mensajes fraudulentos a tus contactos, eliminarán inmediatamente los mensajes enviados mediante la función “eliminar solo para mí” para asegurarse de que no notes nada durante el mayor tiempo posible. Sin embargo, tarde o temprano, comenzarás a recibir mensajes de amigos sorprendidos, indignados o simplemente atentos, o tú mismo notarás rastros de una presencia no autorizada.

Otra consecuencia de la piratería es la reacción del servicio de mensajería instantánea ante el spam. Si los destinatarios denuncian tus mensajes, tu cuenta puede quedar restringida o bloqueada, lo que te impedirá enviar mensajes durante varias horas o días. Puedes apelar las restricciones utilizando un botón especial, como “Solicitar una revisión” en el mensaje de los moderadores, pero es mejor que primero te asegures de tener el control exclusivo de tu cuenta y esperar al menos unas horas más tarde.

Telegram trata a todos los dispositivos vinculados a una cuenta por igual, lo que significa que los estafadores pueden apoderarse de toda tu cuenta y expulsarte desconectando todos tus dispositivos. Sin embargo, para hacer esto, necesitarían permanecer conectados sin ser detectados durante un día entero: Telegram tiene un período de espera de 24 horas antes de que uno pueda cerrar la sesión de otros dispositivos desde una cuenta recién conectada. Si te bloquearon tu propia cuenta de Telegram, lee nuestra guía detallada de recuperación.

En WhatsApp, el primer dispositivo que utilices para iniciar sesión en tu cuenta se convierte en el principal, y los demás dispositivos son secundarios. Esto significa que los piratas informáticos no pueden realizar el truco allí.

Cómo protegerse del secuestro de cuentas de WhatsApp y Telegram

Puedes encontrar instrucciones detalladas sobre cómo proteger tus cuentas de Telegram, WhatsApp, Signal y Discord en nuestras guías individuales. Repasemos nuevamente los principios generales:

  • Asegúrate de activar la autenticación de dos factores (también conocida como “contraseña en la nube” o “verificación en dos pasos”) en la aplicación de mensajería instantánea y utiliza una contraseña o frase de contraseña larga, compleja y única.
  • En WhatsApp, puedes escoger una clave de acceso en lugar de una contraseña. Esta protección es más fiable.
  • Evita participar en sorteos y loterías. No aceptes regalos que no esperabas, sobre todo si tienes que iniciar sesión en algunos sitios web a través de la aplicación de mensajería instantánea para recibirlos.
  • Aprende qué aspecto tiene la autorización legítima a través de Telegram y cierra inmediatamente cualquier sitio web que tenga un aspecto diferente. En pocas palabras, durante un proceso de autorización legítimo, todo lo que tienes que hacer es clic en el botón “Sí, quiero ir a tal sitio web” dentro del chat de Telegram con el bot. No es necesario analizar ni introducir códigos.
  • Revisa periódicamente tu configuración de WhatsApp y Telegram para ver qué dispositivos están conectados. Desconecta los dispositivos antiguos o sospechosos.
  • Utiliza siempre aplicaciones de mensajería oficiales descargadas de fuentes de confianza como Google Play o App Store, Galaxy Store, Huawei AppGallery y otras tiendas de aplicaciones conocidas.
  • Ten más cuidado con los clientes de mensajería instantánea de ordenador de sobremesa, sobre todo en la oficina.
  • Utiliza un sistema de protección fiable en todos tus dispositivos para evitar visitar sitios de phishing o instalar malware.
Consejos
Suscríbete para recibir nuevas publicaciones en tu buzón
  • Para el resto de países