- La mayoría de robos de cuentas de WhatsApp se basan en ingeniería social, duplicado de SIM y accesos no autorizados desde WhatsApp Web o dispositivos de escritorio.
- Para recuperar tu cuenta, es clave registrar de nuevo tu número, cerrar sesiones vinculadas, gestionar el PIN de verificación en dos pasos y contactar con soporte si no tienes acceso.
- Ante un hackeo debes avisar a tus contactos, revisar posibles bloqueos o restricciones de WhatsApp y, si procede, informar también al operador móvil por riesgo de duplicado de SIM.
- La mejor protección pasa por activar la verificación en dos pasos, reforzar la seguridad de la SIM y del correo, mantener el dispositivo limpio de malware y desconfiar de enlaces y códigos que piden datos o códigos.
WhatsApp se ha convertido en el centro de nuestra vida digital: hablamos con la familia, coordinamos el trabajo, recibimos códigos bancarios y hasta gestionamos compras. Precisamente por eso es un caramelito para los ciberdelincuentes, que buscan cualquier resquicio para robar cuentas y hacerse pasar por nosotros. Perder el control de tu perfil ya no es solo un fastidio, puede derivar en estafas de dinero, filtraciones de información privada o problemas de reputación.
La buena noticia es que, aunque te hayan hackeado tu cuenta de WhatsApp, se puede recuperar si reaccionas con rapidez y sigues una serie de pasos claros. En esta guía completa vas a ver todas las formas habituales de ataque, cómo detectar si tu cuenta está comprometida, qué hacer según el tipo de hackeo (código de verificación, WhatsApp Web, robo del móvil, duplicado de SIM, malware, etc.) y cómo blindar tu perfil para que no vuelva a ocurrir.
Cómo consiguen hackear una cuenta de WhatsApp
La mayoría de robos de cuentas de WhatsApp no se basan en súper hackers con habilidades secretas, sino en engaños muy bien pensados para que tú mismo entregues el acceso sin darte cuenta. Entender estos métodos es básico para saber qué ha pasado y cómo actuar.
El truco del código de verificación por SMS es el más común. El atacante intenta registrar tu número en su propio móvil como si fueras tú estrenando teléfono. WhatsApp envía el clásico SMS con el código de verificación de 6 dígitos a tu dispositivo legítimo, y ahí entra la ingeniería social: te llega un mensaje o te llama alguien haciéndose pasar por soporte, por un conocido o por un servicio que usas, pidiéndote ese código “porque se ha producido un problema de seguridad” o “te ha llegado por error”. Si lo compartes, el atacante activa tu cuenta en su móvil y tú te quedas fuera.
Otra vía muy peligrosa es el duplicado de SIM (SIM swapping). En este caso, el ciberdelincuente recopila tus datos personales (DNI, dirección, fecha de nacimiento, etc.) y llama a tu operador para hacerse pasar por ti y pedir un duplicado de tu tarjeta. Cuando el operador cae en el engaño, tu línea pasa a la SIM del atacante, que empieza a recibir tus SMS y llamadas, incluidos los códigos de WhatsApp y de otros servicios como el banco.
El acceso físico a tu móvil también es una puerta enorme. Si alguien tiene el teléfono desbloqueado en la mano, puede vincular tu cuenta a WhatsApp Web o a la app de escritorio escaneando el código QR, o incluso registrar la cuenta en otro dispositivo si llega a recibir el SMS o la llamada con el código. Por eso no es solo importante proteger la app, sino también el bloqueo de pantalla.
Por último, hay ataques basados en malware o spyware. Suelen empezar con enlaces maliciosos, códigos QR trampa o versiones falsas de WhatsApp que descargas desde webs poco fiables. Ese software espía puede leer notificaciones, robar códigos de verificación, registrar pulsaciones o incluso duplicar tu pantalla para que el atacante vea lo mismo que tú.
Señales de que te han hackeado o están usando tu WhatsApp
No siempre es evidente que hayan tomado el control de tu cuenta. En muchos casos el atacante intenta pasar desapercibido para aprovecharse durante más tiempo. Estas son las señales más habituales de una cuenta comprometida.
Mensajes y actividad que tú no has realizado son el primer aviso. Puede que tus contactos te digan que les llegan mensajes raros pidiendo dinero, enlaces sospechosos, encuestas con premios o historias dramáticas sobre accidentes o urgencias. También puedes ver en tus chats respuestas enviadas que tú no recuerdas, estados nuevos o historias que nunca publicaste.
Cambios extraños en tu perfil o configuración también son un síntoma claro. Si de repente aparecen modificaciones en tu nombre, foto, descripción, listas de difusión o grupos a los que te han añadido sin saber cómo, es muy probable que alguien más esté manejando tu cuenta o que haya vinculado tu WhatsApp a otro dispositivo.
Notificaciones de códigos de verificación que no has pedido deben encender todas las alarmas. Si te llega un SMS o una llamada con un código de WhatsApp sin que tú estés intentando registrarte, significa que alguien está intentando abrir sesión con tu número. Mientras tú no compartas ese código, no podrá completar el robo, pero es importante que estés en guardia.
Pérdida de acceso repentina a tu cuenta es la señal más clara. Si de un momento a otro WhatsApp te cierra sesión y ves un mensaje del estilo “Tu cuenta se está usando en otro dispositivo” o “Debes volver a registrarte”, es que otra persona ha logrado completar el registro con tu número.
Dispositivos desconocidos vinculados a tu cuenta son otra pista importante. En el menú de “Dispositivos vinculados” puedes ver desde qué ordenadores y navegadores se está usando tu WhatsApp Web o app de escritorio. Si aparece algo que no reconoces, alguien ha tenido acceso a tu móvil y ha vinculado la sesión a escondidas.
Qué hacer si te han robado la cuenta con el código de verificación
Cuando el atacante ha conseguido registrar tu número en su móvil con el código de verificación, lo primero que notarás es que tu WhatsApp vuelve a la pantalla de inicio y te pide verificar el número otra vez. A partir de ahí, cada minuto cuenta para minimizar el daño.
1. Avisa cuanto antes a tus contactos por otras vías (llamada, SMS, correo, redes sociales…). Explica que alguien está usando tu número de WhatsApp y que no deben hacer caso a mensajes raros, especialmente si piden dinero, códigos o datos personales. De este modo cortas de raíz muchos intentos de estafa que podrían hacer en tu nombre.
2. Intenta registrar de nuevo tu número en WhatsApp desde tu teléfono. Abre la app, introduce tu número en formato internacional, y solicita el código de verificación. Cuando recibas el SMS o la llamada, escribe el código de 6 dígitos. En cuanto el proceso se complete, la sesión del atacante se cerrará de forma automática porque solo puede haber un móvil principal por cuenta.
3. Si el SMS no llega, usa la opción de llamada. A veces, cuando se han hecho muchos intentos de verificación en poco tiempo, WhatsApp bloquea los envíos de SMS durante un rato. En ese caso, espera al tiempo indicado en pantalla o selecciona “Llámame” para recibir el código por una locución automática, que te repetirá los dígitos varias veces.
4. Si te piden un PIN adicional de seis dígitos que no conoces, es posible que el atacante haya activado la verificación en dos pasos para bloquearte. Si tú no configuraste ese PIN ni añadiste un correo de recuperación, solo te quedará solicitar el restablecimiento y esperar siete días a que caduque. Durante ese periodo no podrás entrar a la cuenta, pero tampoco el atacante, ya que la sesión se habrá cerrado en cuanto tú completaste el paso de verificación con SMS.
5. Si tenías configurado un correo electrónico de recuperación en WhatsApp, podrás restablecer el PIN de verificación en dos pasos casi al momento. En la pantalla donde te pide el PIN, pulsa en “¿Olvidaste el PIN?” y sigue las instrucciones. Te enviarán un enlace al correo asociado; ábrelo y confirma el restablecimiento. Luego, vuelve a la app y establece un nuevo PIN que solo tú conozcas.
Qué hacer si sospechas de espionaje por WhatsApp Web o versión de escritorio
Uno de los ataques más discretos es el uso de WhatsApp Web o la app de escritorio sin tu permiso. En este caso, tú sigues teniendo acceso normal desde tu móvil, pero otra persona ve tus conversaciones en su ordenador sin que te des cuenta, lo que le permite leer chats e incluso escribir mensajes.
Este tipo de acceso requiere que alguien haya tenido tu móvil desbloqueado durante unos segundos para escanear el código QR de WhatsApp Web en su ordenador. Hoy en día, en muchos móviles se pide huella o reconocimiento facial para vincular dispositivos, pero si esa persona conoce tu PIN de desbloqueo, sigue siendo viable.
Para comprobar si hay sesiones abiertas que no reconoces, entra en WhatsApp, pulsa en el menú de los tres puntos (Android) o ve a “Configuración” en iPhone y entra en “Dispositivos vinculados”. Allí verás una lista de ordenadores, navegadores y fechas de último acceso.
Si ves algún dispositivo que te suena raro o que ya no usas, toca sobre él y pulsa “Cerrar sesión”. Esto expulsará automáticamente al espía de tu cuenta desde ese ordenador. Es buena idea cerrar todas las sesiones y, cuando vuelvas a necesitar WhatsApp Web, iniciar solo las que tú controles.
Tras expulsar a los posibles intrusos, revisa también tu móvil: cambia el PIN de desbloqueo, activa un bloqueo biométrico para WhatsApp si tu dispositivo lo permite y evita que otras personas tengan acceso físico frecuente a tu teléfono sin supervisión.
Qué hacer si te han robado o has perdido el móvil
Cuando pierdes el teléfono o te lo roban, el riesgo se multiplica, sobre todo si no tenías un bloqueo de pantalla fuerte. Aunque la app de WhatsApp esté cifrada, si el ladrón puede usar tu línea de teléfono para recibir SMS, podría registrar tu cuenta en otro móvil.
Lo primero es llamar a tu operador y bloquear la tarjeta SIM. Esto evita que el atacante pueda recibir códigos de verificación por SMS o llamada. Es cierto que no cerrará las sesiones de WhatsApp ya iniciadas en ese dispositivo, pero corta los intentos de registrar la cuenta en otros teléfonos.
El segundo paso es desactivar temporalmente tu cuenta de WhatsApp. Para hacerlo, envía un correo a support@whatsapp.com con el asunto “Teléfono robado/extraviado: Por favor, desactiva mi cuenta” e incluye tu número completo con el prefijo internacional (por ejemplo, +34 si es español). Así, WhatsApp suspenderá la cuenta asociada a ese número.
Una vez esté desactivada la cuenta, nadie podrá usar tu WhatsApp, ni tú ni el ladrón. Los contactos seguirán pudiendo ver tu nombre y foto un tiempo, pero no será posible enviar ni recibir mensajes desde esa cuenta hasta que la reactives en un nuevo dispositivo.
Cuando consigas un duplicado de tu SIM en tu operador, instala WhatsApp en tu nuevo móvil, introduce tu número y completa el proceso de verificación. Si no han pasado más de 30 días desde que solicitaste la desactivación, podrás recuperar la cuenta, y si tenías copia de seguridad en Google Drive, iCloud o almacenamiento local, la app te ofrecerá restaurar tus chats.
Pasos generales para recuperar una cuenta de WhatsApp hackeada
Más allá del tipo concreto de ataque, el proceso base para recuperar tu cuenta es bastante parecido. WhatsApp solo reconoce un número de teléfono, y ese es tu mejor aliado para echar al atacante.
1. Asegúrate de que la tarjeta SIM con tu número está en tu poder. Si tienes cobertura y recibes SMS y llamadas normalmente, puedes continuar con la recuperación. Si sospechas de un duplicado de SIM (tu móvil deja de tener señal de repente), llama de inmediato a tu operador para verificarlo.
2. Abre WhatsApp en tu móvil y mira qué ocurre. Si la app se abre con normalidad, ve directo a Ajustes/Ajustes > Dispositivos vinculados y cierra todas las sesiones de ordenadores. Si por el contrario la aplicación te dice que debes volver a registrarte, introduce tu número y solicita un nuevo código.
3. Solicita el código de verificación por SMS o llamada y escríbelo en la pantalla de verificación. Este código de seis cifras es único y caduca a los pocos minutos. No lo compartas con nadie bajo ningún concepto, aunque parezca un mensaje o llamada legítima.
4. Si ya tenías activada la verificación en dos pasos, después del código de registro te pedirá tu PIN de seis dígitos. Escríbelo para completar el inicio de sesión. Cuando se valide, se cerrará cualquier sesión que estuviera activa en otro dispositivo con tu cuenta.
5. Si WhatsApp te pide un PIN de verificación en dos pasos que tú no conoces, probablemente el atacante lo haya configurado. Puedes intentar recuperarlo usando la opción “¿Olvidaste el PIN?”. Si asociaron (o tú mismo asociaste antes) un correo electrónico de recuperación, te llegará un enlace para restablecerlo. Si no existe correo asociado, tendrás que esperar siete días para que se elimine ese PIN y poder volver a acceder.
Cómo avisar y proteger a tus amigos y familiares
Un uso muy habitual de las cuentas de WhatsApp robadas es la estafa a tus contactos. El delincuente se hace pasar por ti, escribe a familiares y amigos diciendo que estás en apuros, que necesitas dinero urgentemente, que se ha bloqueado tu cuenta bancaria o que deben reenviar un código “que te llegó por error”.
En cuanto seas consciente del hackeo, comunica lo sucedido usando canales alternativos: llamadas, SMS, correo, otras redes sociales o incluso en persona. Pide que desconfíen de cualquier mensaje raro que reciban desde tu número y que no envíen dinero ni compartan datos sensibles.
También puedes utilizar el propio estado de WhatsApp una vez recuperes la cuenta. Entra en Ajustes > toca tu nombre y edita el apartado de Info con algo del estilo “Cuenta comprometida hace poco, ignora mensajes raros”. Además, puedes publicar un estado para llegar a más gente en poco tiempo.
Si crees que se han enviado mensajes muy delicados o estafas en tu nombre, conviene insistir algo más con las personas más cercanas. Una llamada rápida a padres, pareja, hijos o compañeros de trabajo de confianza puede evitar disgustos mayores.
Cómo actuar si WhatsApp ha bloqueado temporalmente tu cuenta
Cuando una cuenta se usa para enviar spam, WhatsApp puede limitar su uso durante unas horas o unos días. Esto pasa a menudo tras un hackeo si el atacante ha mandado mensajes masivos, enlaces sospechosos o ha sido denunciado por muchos usuarios.
En estos casos, aunque ya hayas recuperado el control de la cuenta, es posible que no puedas enviar mensajes, unirte a grupos o realizar determinadas acciones. En la propia app suele aparecer un aviso, y bajo esa notificación verás la opción “Solicitar una revisión”.
Pulsa en “Solicitar una revisión” y explica brevemente lo sucedido: que tu cuenta fue comprometida, que ya has cambiado los ajustes de seguridad y pides que se revise el bloqueo. El levantamiento de la restricción no es inmediato; según los sistemas internos de WhatsApp, puede tardar desde unas horas hasta unos tres días.
Mientras dura la restricción, evita desinstalar y reinstalar la aplicación de forma compulsiva, ya que no acelerará el proceso y puede generar más confusión. Centra tus esfuerzos en asegurar el resto de servicios (correo, SIM, dispositivo, contraseñas, etc.).
Cómo reportar el hackeo a WhatsApp y a tu operador
Cuando el ataque ha sido serio, es recomendable informar por los canales oficiales, especialmente si sospechas de duplicado de SIM o de un fallo de seguridad más grave.
Para contactar con el soporte de WhatsApp desde el navegador, puedes usar el formulario en whatsapp.com/contact. Ahí eliges la plataforma que usas (Android, iPhone, etc.) y detallas el problema: robo de cuenta, posible duplicado de SIM, pérdida del móvil, etc.
También puedes escribirles desde la propia app. Entra en Ajustes > Ayuda > Servicio de ayuda y pulsa en “Contáctanos”. Describe lo que ha pasado, indicando si has perdido acceso, si han activado verificación en dos pasos sin tu permiso o si se han enviado mensajes de estafa desde tu cuenta.
Si sospechas que te han hecho un duplicado de la tarjeta SIM, llama o acude físicamente a tu operador cuanto antes. Pide que comprueben si se ha emitido recientemente un duplicado o si hay desvíos de llamadas activos sin tu permiso. Solicita la cancelación de cualquier tarjeta sospechosa y pregunta por medidas de seguridad adicionales, como una contraseña extra para tramitar duplicados.
Es fundamental también reforzar tu correo electrónico, porque muchas recuperaciones de cuentas pasan por ahí. Cambia la contraseña por una robusta y única, activa la autenticación en dos factores y utiliza, si es posible, un gestor de contraseñas para recordar credenciales seguras.
Cómo proteger tu cuenta de WhatsApp para que no vuelva a ser hackeada
Una vez recuperada tu cuenta, llega la parte importante: blindarla. La mayoría de ataques se aprovechan de despistes y de configuraciones de seguridad mínimas, así que con unos cuantos cambios puedes ponérselo muy difícil a cualquiera.
Activa la verificación en dos pasos en la propia app. Ve a Ajustes > Cuenta > Verificación en dos pasos > Activar. Configura un PIN de seis dígitos que recuerdes bien y, si puedes, añade un correo electrónico de recuperación. De esta forma, aunque alguien consiga tu código de SMS, no podrá entrar sin ese segundo PIN.
Nunca compartas códigos ni PIN con nadie. Ni por WhatsApp, ni por SMS, ni por llamada, ni por correo. Ningún empleado legítimo de WhatsApp, banco, operador o servicio serio te pedirá el código de un solo uso que recibes por SMS. Si alguien te lo solicita, puedes dar por hecho que es un intento de estafa.
Valora activar las claves de acceso (passkeys) y el bloqueo biométrico si tu dispositivo y tu versión de WhatsApp lo permiten. Las claves de acceso sustituyen parte de la autenticación por un sistema criptográfico más seguro, y el bloqueo por huella o rostro hace que sea mucho más difícil que alguien cotillee tu WhatsApp si te deja el móvil sobre la mesa.
Revisa en Ajustes > Cuenta > Seguridad/Privacidad todas las opciones disponibles: quién puede ver tu foto, tu estado, tu última hora de conexión, si se muestran notificaciones de seguridad cuando cambia el código de cifrado de un contacto, etc. Configura estas opciones para limitar la información que expones y recibir avisos si algo raro cambia.
Mantén siempre actualizada la app desde Google Play o App Store. Las nuevas versiones corrigen fallos de seguridad y cierran vulnerabilidades que pueden aprovechar los ciberdelincuentes. Evita por completo instalar versiones modificadas o descargadas desde webs de dudosa procedencia.
Otras medidas extra de seguridad fuera de WhatsApp
La seguridad de tu WhatsApp también depende del estado general de tus dispositivos y servicios. De poco sirve blindar la app si tu móvil está lleno de malware o si tu correo es facilísimo de robar.
Instala una solución de seguridad fiable en tu móvil y ordenador para detectar spyware, troyanos y aplicaciones maliciosas que puedan robar códigos y datos. Haz análisis periódicos y desinstala cualquier app que no recuerdes haber instalado o que tenga permisos extraños.
Ten mucho cuidado con los enlaces y códigos QR que recibes por WhatsApp, email o redes sociales. No pulses en enlaces acortados o sospechosos; si un contacto te envía algo raro, pregúntale por otra vía si realmente lo mandó él. Lo mismo con los códigos QR que “regalan premios” o prometen descuentos milagrosos.
Desconfía de estafas típicas que circulan por WhatsApp: el “familiar en apuros” que necesita un Bizum urgente, las supuestas loterías o premios que te piden que pagues unas tasas, las inversiones en criptomonedas con rentabilidades imposibles, las ofertas de trabajo irreales o los mensajes que hablan de versiones “Gold” o “Premium” de WhatsApp que en realidad descargan malware.
Si quieres un extra de privacidad, puedes usar una VPN en tus conexiones, sobre todo cuando uses redes WiFi públicas. No es imprescindible para proteger los chats (ya van cifrados de extremo a extremo), pero sí ayuda a ocultar tu IP y tu ubicación general para que no puedan perfilarte tan fácilmente.
La mejor defensa contra los hackeos de WhatsApp combina rapidez de reacción y buenos hábitos de seguridad: saber detectar señales sospechosas, recuperar la cuenta cuanto antes, avisar a tus contactos para que no caigan en estafas y reforzar la protección con verificación en dos pasos, bloqueo biométrico, SIM bien protegida y dispositivos libres de malware. Con todo esto en marcha, reducirás muchísimo las probabilidades de volver a pasar por el mal trago de ver tu cuenta en manos ajenas.
