Con el gancho aparentemente inocente de “vota por mi hijo”, una campaña de ingeniería social está aprovechando la confianza entre contactos para robar cuentas de WhatsApp. Este timo no recurre a malware ni adjuntos peligrosos: se basa en manipular empatía, urgencia y familiaridad para que el usuario baje la guardia.
Según una investigación reciente de Bitdefender, la operación se expande con rapidez por Europa y ya afecta a miles de usuarios. La dinámica es simple pero eficaz: un mensaje que parece de alguien conocido pide un voto para un supuesto concurso y dirige a una web falsa donde, paso a paso, se captura el control de la cuenta.
Cómo se desarrolla el engaño
Todo arranca con un texto que llega desde una cuenta que el usuario reconoce, lo que transmite confianza. En él se solicita votar por el hijo o la hija de un amigo en una competición, a menudo con un toque emocional (por ejemplo, aspirar a una beca), y se adjunta un enlace para hacerlo “rápido”.
Al pulsar el enlace, la víctima aterriza en un portal controlado por los atacantes que simula un sistema de votación. Allí le piden introducir su número de teléfono y, acto seguido, el código de verificación de WhatsApp de seis dígitos que recibe por SMS. Ese código debería ser secreto: si se facilita, los delincuentes toman la cuenta al instante.
Con el perfil ya secuestrado, los estafadores continúan la cadena: envían más mensajes fraudulentos a los contactos del afectado para solicitar nuevos “votos” o incluso dinero, multiplicando el alcance del engaño con cada víctima comprometida.
Alcance y cifras verificadas
Bitdefender ha rastreado la infraestructura tras esta campaña y ha identificado 177 dominios fraudulentos y 554 URLs únicas vinculadas al fraude. Los ataques siguen activos y, según los datos recopilados, impactan principalmente en Polonia, Rumanía y Alemania, con reportes también en España, Reino Unido y Estados Unidos.
El volumen y la distribución geográfica evidencian una operación en expansión. La ausencia de malware y el uso de recursos psicológicos convierten este esquema en una amenaza especialmente difícil de detectar, incluso para usuarios con cierto nivel técnico.
Por qué tanta gente cae
Este timo explota tres disparadores clásicos de la ingeniería social: la familiaridad (el mensaje procede de un contacto real), la urgencia (votar “ahora”) y la emoción (ayudar a un menor). Con esa combinación, el razonamiento crítico se relaja y se pasan por alto señales de alerta como URLs sospechosas o peticiones de códigos privados.
Incluso usuarios habituados a la tecnología pueden ser víctimas si prima la confianza. Los ciberdelincuentes diseñan el flujo para que el usuario “colabore” dando el dato clave: el código de verificación que WhatsApp envía por SMS y que jamás debe compartirse.
Cómo blindar tu WhatsApp
Reforzar la cuenta y adoptar hábitos de verificación reduce drásticamente el riesgo. Aquí van medidas concretas que, combinadas, elevan tu nivel de protección:
- Activa la verificación en dos pasos en WhatsApp y establece un PIN robusto, distinto al del móvil.
- No compartas códigos de verificación bajo ninguna circunstancia, ni siquiera con familiares o amigos.
- Confirma peticiones inusuales mediante una llamada directa antes de hacer clic o dar datos.
- Explica estas estafas a personas vulnerables (por ejemplo, mayores) con un lenguaje sencillo.
- Reporta dentro de la app los mensajes extraños utilizando la opción “Reportar”.
Si ya te han quitado la cuenta
Si sospechas que han tomado tu perfil, actúa sin perder tiempo para recuperar el acceso y limitar daños:
- Solicita un nuevo código de verificación para iniciar sesión de nuevo en tu dispositivo.
- Contacta con el soporte de WhatsApp para asistencia y verifica actividad reciente.
- Si hubo transferencias, avisa a tu banco de inmediato y revisa movimientos.
- Informa a tus contactos de lo ocurrido para frenar el efecto dominó.
Este fraude evoluciona con rapidez, apoyándose en la confianza entre contactos y en peticiones emocionales que buscan precipitar decisiones; extremar la precaución, activar barreras como la verificación en dos pasos y verificar cualquier solicitud fuera del chat son hoy las defensas más eficaces frente a la estafa de “Vota por mi hijo”.
