El buzón de voz de tu teléfono móvil se convirtió en una puerta de entrada para el robo de cuentas de WhatsApp. La Policía de Investigación (PDI) de la Ciudad de México emitió una serie de recomendaciones para que los usuarios cierren esa vulnerabilidad antes de que los delincuentes la exploten.
El mecanismo del fraude es directo. Los ciberdelincuentes marcan al número de la víctima mientras la línea está ocupada, de modo que el código de verificación de seis dígitos que WhatsApp envía por llamada cae directamente al buzón de voz. Luego acceden a ese buzón, recuperan el código y toman control total de la cuenta.
¿Cómo funciona el ataque al buzón de voz?
Una vez que los delincuentes obtienen el código, bloquean a la víctima de su propia cuenta. A partir de ese momento, usan la identidad de la persona para contactar a sus familiares y amigos, solicitar transferencias de dinero o distribuir enlaces maliciosos entre los contactos de la cuenta robada.
PUBLICIDAD
La Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México confirmó que este esquema aprovecha tres factores: la confianza del entorno social de la víctima, la urgencia artificial que generan los mensajes y el desconocimiento tecnológico sobre el funcionamiento del buzón de voz.
El paso más importante: desactivar el buzón
La medida preventiva que la PDI coloca al frente de sus recomendaciones es la desactivación del buzón de voz. El procedimiento se realiza desde la aplicación del operador de telefonía móvil en cuatro pasos: ingresar a la sección de servicios, seleccionar la pestaña de servicios activos, tocar la opción de buzón inteligente y aceptar los términos para desactivarlo.
Quien prefiera no hacerlo por la aplicación tiene una alternativa: llamar directamente a la línea de atención al cliente del operador para completar el proceso vía telefónica.
PUBLICIDAD
Protección adicional dentro de WhatsApp
La desactivación del buzón elimina el canal de entrada, pero no es la única barrera disponible. WhatsApp ofrece la verificación en dos pasos, una función que añade un PIN personal al proceso de registro de la cuenta en cualquier dispositivo nuevo.
Con ese PIN activo, aunque un atacante consiga el código de seis dígitos, no puede completar el acceso sin el segundo factor de autenticación. La PDI recomienda activar esta función de forma inmediata, antes de que ocurra cualquier intento de fraude.
Señales de alerta que no deben ignorarse
Los usuarios deben reconocer los patrones que anteceden al ataque. Los delincuentes suelen contactar a la víctima haciéndose pasar por un conocido, por soporte técnico de WhatsApp o por personal de una institución financiera, y construyen un pretexto para que la persona espere o reenvíe un código de verificación.
PUBLICIDAD
WhatsApp nunca contacta a sus usuarios por teléfono para solicitar códigos de restablecimiento ni confirmaciones de dos pasos. Cualquier llamada o mensaje que pida ese tipo de información es una señal de fraude.
¿Qué hacer si ya robaron la cuenta?
Si la sesión se cerró de forma inesperada, la víctima debe abrir WhatsApp en su dispositivo e iniciar sesión con su número para recibir un nuevo código por SMS. En caso de que el atacante haya configurado un PIN propio de verificación en dos pasos, la recuperación requiere un periodo de espera de siete días antes de que el sistema permita el acceso con un código nuevo.
Como alternativa, se puede escribir al correo support@whatsapp.com con el asunto “Cuenta robada” y el número telefónico en formato internacional, para solicitar el cierre de todas las sesiones activas.
PUBLICIDAD
¿Dónde reportar el fraude?
La PDI pone a disposición de la ciudadanía la línea (55) 5242 6489 para orientación sobre este tipo de delitos. Las consultas también pueden dirigirse al correo ciberneticapdi@fgjcdmx.gob.mx.
La denuncia oportuna es la herramienta que permite a las autoridades detener el daño, deslindar a la víctima de cualquier responsabilidad derivada del uso ilícito de su cuenta y alertar a otros usuarios sobre las modalidades activas de fraude.