Las estafas por WhatsApp se han disparado en 2025 hasta convertirse en uno de los fraudes digitales más habituales. Con una base de más de 3.000 millones de usuarios en todo el mundo y una presencia masiva en España y el resto de Europa, la aplicación se ha convertido en el terreno de juego perfecto para los ciberdelincuentes, como muestran casos de cuentas de WhatsApp vinculadas a estafas.
Según distintos informes de Check Point Software y otros equipos de ciberseguridad, los criminales han perfeccionado sus tácticas de ingeniería social, explotando emociones como el miedo, la prisa o la confianza ciega en los contactos y en las marcas conocidas. El objetivo casi siempre es el mismo: robar dinero, datos personales o directamente el control de la cuenta de WhatsApp; además, en algunos casos técnicos se ha detectado malware que roba chats y contraseñas.
WhatsApp como uno de los grandes vectores de fraude digital
Durante 2025, WhatsApp se ha consolidado como un canal prioritario para los fraudes online, tanto en España como en otros países europeos. En muchos casos es el punto de partida de la estafa, y en otros es el paso final al que los delincuentes intentan llevar siempre la conversación. Además, iniciativas como la nueva vista previa en WhatsApp buscan frenar estafas en los chats.
Los expertos explican que el entorno de confianza que genera la app, sumado a la inmediatez de los mensajes y a la sensación de cercanía con familiares, amigos o marcas, hace que los usuarios bajen la guardia. Esa mezcla de urgencia y cercanía es el caldo de cultivo perfecto para que prosperen timos cada vez más trabajados; por eso conviene configurar WhatsApp de forma óptima.
En 2025, las campañas detectadas comparten un patrón muy claro: sacar al usuario de entornos más controlados (como la web de una entidad o la propia banca online) y llevarlo a una conversación en WhatsApp, donde resulta más fácil presionarle para que haga pagos, comparta datos o entregue códigos de verificación. Existen guías prácticas para evitar estafas al compartir pantalla que ilustran cómo terminan muchos de estos fraudes.
El fraude del “hijo en apuros”: el clásico que sigue arrasando
Entre las estafas por WhatsApp más comunes, el engaño del llamado “hijo en apuros” sigue siendo uno de los que más víctimas acumula. A pesar de que lleva años circulando, continúa funcionando porque apela directamente al miedo y al instinto de protección de los padres; la prensa ha publicado alertas y guías para no caer en variantes similares.
El esquema arranca con un mensaje desde un número desconocido en el que alguien se hace pasar por el hijo o la hija de la víctima, alegando que ha perdido el móvil, que está usando un teléfono nuevo o que no puede acceder a su número habitual. A partir de ahí, el supuesto familiar pide ayuda urgente, casi siempre en forma de transferencia inmediata. Si sospechas, sigue los pasos para denunciar estafas antes de enviar dinero.
Este tipo de mensajes suelen presentarse como situaciones límite: un problema médico, un accidente, una deuda que vence en cuestión de horas o cualquier otra excusa que genere presión emocional y sensación de emergencia. En ese estado, muchas personas reaccionan de manera automática, sin comprobar si realmente hablan con su hijo o con un desconocido; revisar qué datos personales que no debes compartir ayuda a no empeorar la situación.
Los equipos de ciberseguridad insisten en que el detalle clave es que el estafador evita que la víctima se pare a pensar. Por eso recomiendan verificar siempre la identidad por otro canal, como una llamada al número de siempre del supuesto familiar o el contacto con otros parientes antes de enviar dinero.
Ghost Pairing: el secuestro silencioso de la cuenta
Entre las técnicas más preocupantes de 2025 se encuentra el llamado Ghost Pairing, también conocido como secuestro silencioso de cuentas de WhatsApp. A diferencia de otros timos, aquí el objetivo principal es tomar el control técnico de la cuenta, sin que el usuario se dé cuenta a primera vista. Casos como la oleada de secuestros de cuentas evidencian el riesgo.
Esta técnica permite que los atacantes vinculen la cuenta de WhatsApp de la víctima a otro dispositivo sin necesidad de robar la tarjeta SIM ni conocer la contraseña del móvil. El truco pasa por convencer al usuario para que comparta los códigos de verificación que la propia app envía para confirmar el acceso; hay modalidades similares al robo a través del buzón de voz.
El engaño puede llegar de distintas formas: mensajes que supuestamente proceden del servicio técnico de WhatsApp, avisos falsos de seguridad o incluso conversaciones previas en las que el ciberdelincuente se gana la confianza de la víctima antes de pedirle el código “para solucionar un problema”.
Una vez que el atacante introduce ese código en su propio dispositivo, se hace con el control de la cuenta. A partir de ahí puede leer y enviar mensajes, hacerse pasar por la víctima y utilizar su identidad para estafar a otros contactos, multiplicando el alcance de la campaña.
Además, algunos incidentes recientes han puesto el foco en herramientas de terceros para automatizar WhatsApp Web que, en realidad, escondían ClayRat, el spyware que se hace pasar por WhatsApp y malware capaz de interceptar mensajes y credenciales. Estos casos, dirigidos sobre todo a desarrolladores y empresas que integran librerías no oficiales, muestran hasta qué punto los ciberdelincuentes buscan cualquier resquicio técnico para mantener un acceso persistente a las cuentas.
Suplantación de organismos oficiales y administraciones
Otro bloque de fraudes que ha crecido con fuerza en 2025 es el de la suplantación de organismos públicos. En España, uno de los ganchos más repetidos es el uso del nombre de la DGT u otras administraciones para enviar mensajes sobre multas, sanciones o trámites pendientes; esta táctica guarda similitudes con estafas de phishing en Facebook.
El modus operandi suele consistir en un aviso que llega por SMS, correo electrónico o incluso por redes sociales, y que redirige a la víctima hacia una conversación en WhatsApp. Una vez allí, los delincuentes mandan enlaces a supuestas páginas oficiales o piden datos personales y bancarios con la excusa de regularizar la situación.
En otras variantes, el mensaje llega directamente por WhatsApp, con un tono muy urgente: “tiene una multa pendiente”, “su vehículo será inmovilizado” o “pierde un plazo administrativo si no paga hoy mismo”. Ese lenguaje presiona al usuario para que acceda a páginas web que imitan el diseño de sitios institucionales, donde se roban credenciales y tarjetas.
Las autoridades recuerdan que los organismos oficiales no gestionan pagos ni piden códigos de verificación a través de WhatsApp, y que cualquier comunicación importante se realiza por canales certificados o por sedes electrónicas con certificado digital.
Suplantación de grandes marcas y plataformas digitales
Junto a la usurpación de administraciones, también se ha disparado la suplantación de grandes empresas y servicios online. Marcas de comercio electrónico, operadores y plataformas muy conocidas sirven de gancho para timos que buscan robar contraseñas, números de tarjeta o incluso el control de la cuenta de WhatsApp.
Los mensajes suelen avisar de pedidos bloqueados, cargos sospechosos o problemas de acceso a la cuenta. A partir de ahí, se invita al usuario a pinchar en un enlace para “verificar la información” o se le propone continuar la gestión directamente por WhatsApp para “agilizar el trámite”.
En realidad, esos enlaces conducen a páginas fraudulentas donde se solicita a la víctima que introduzca sus datos de inicio de sesión, información de pago o códigos de confirmación. En algunos casos, la conversación en WhatsApp sirve para que el estafador guíe a la persona paso a paso, haciéndole creer que está hablando con un servicio de atención al cliente legítimo.
El objetivo final suele ser doble: por un lado, robar credenciales para acceder a cuentas de compra online o servicios de suscripción, y por otro, capturar la información necesaria para apoderarse de la cuenta de WhatsApp y continuar la cadena de fraudes con la identidad de la víctima.
Campañas que empiezan fuera de WhatsApp y terminan en la app
Una tendencia muy clara en 2025 es que muchas estafas ya no arrancan directamente en WhatsApp, sino en otras plataformas aparentemente inocuas. A partir de ahí, los delincuentes van moviendo a la víctima hasta la app de mensajería, donde rematan el engaño con menos controles y más sensación de intimidad. Por ejemplo, se han detectado falsas ofertas de trabajo que terminan derivando la conversación a WhatsApp.
Se han detectado campañas que utilizan redes sociales como Facebook o TikTok para ofrecer chollos, regalos, sorteos o trabajos fáciles. A menudo se crean anuncios o publicaciones con apariencia profesional, que invitan a contactar por mensaje privado y terminan derivando la conversación a WhatsApp.
También se han identificado casos en los que se recurre a servicios legítimos del ámbito educativo, como Google Classroom, para enviar invitaciones falsas a cursos o actividades. Esas invitaciones llevan a páginas de phishing o piden al usuario que confirme su participación escribiendo a un número de WhatsApp, donde se desarrolla el fraude con más comodidad para el atacante.
Los analistas de amenazas subrayan que el patrón se repite: el primer contacto se hace en un entorno que genera confianza —una red social conocida o una plataforma académica— y después se empuja a la víctima a continuar por WhatsApp, donde la presión psicológica y la informalidad del canal facilitan que termine compartiendo datos o realizando pagos.
Otras formas de fraude relacionadas con WhatsApp
Aunque los timos más visibles de 2025 giran en torno a la suplantación de familiares, organismos y marcas, también se han observado otras amenazas ligadas al ecosistema de la app, especialmente cuando se usan herramientas no oficiales o descargas de fuentes poco fiables.
Investigaciones recientes han destapado paquetes de software que se hacían pasar por librerías legítimas para automatizar WhatsApp Web y que, en realidad, capturaban mensajes, archivos y credenciales de los usuarios o de los desarrolladores que los integraban en sus proyectos.
Este tipo de ataques muestra que los ciberdelincuentes no solo buscan engañar a través de mensajes, sino también aprovechar vulnerabilidades técnicas y malas prácticas de instalación, por ejemplo, cuando se usan versiones modificadas de WhatsApp o aplicaciones de terceros que prometen funciones “extra” o personalizaciones llamativas.
En estos escenarios, el riesgo va más allá del usuario individual: si la herramienta maliciosa se integra en sistemas de empresas, puede exponer contactos, conversaciones y documentos internos, ampliando enormemente el impacto del incidente.
Recomendaciones clave para evitar estafas por WhatsApp
Ante el aumento de fraudes, los especialistas en ciberseguridad insisten en que la mejor defensa sigue siendo una mezcla de prevención, desconfianza sana y sentido común. Ninguna medida técnica sustituye a revisar con calma lo que se recibe en el móvil.
La primera regla es clara: desconfiar de cualquier mensaje inesperado que pida dinero, datos personales, códigos de verificación o que intente llevarte a un enlace desconocido. Esto aplica incluso cuando el remitente parece ser un familiar, un amigo o una institución conocida.
También es fundamental verificar la identidad del remitente por un canal alternativo. Si alguien asegura ser tu hijo desde un número nuevo, lo prudente es llamar al teléfono de siempre o hablar con otros familiares antes de transferir un solo euro. En el caso de las supuestas entidades oficiales o marcas, conviene buscar sus canales de contacto oficiales en la web y contrastar la información.
Los expertos recuerdan además que jamás hay que compartir los códigos de verificación que envían WhatsApp, bancos u otros servicios. Esos códigos son la llave de acceso a tus cuentas, y ninguna empresa seria te los pedirá por WhatsApp ni por mensajes de texto.
Otra medida esencial es revisar periódicamente los dispositivos vinculados a tu WhatsApp. Desde el menú de ajustes de la app puedes ver en qué equipos tienes sesiones abiertas y cerrar cualquier acceso que no reconozcas. Aprovechar para activar la verificación en dos pasos añade una capa extra de protección.
Se recomienda mantener siempre la aplicación actualizada y evitar instalar mods, versiones no oficiales o herramientas de procedencia dudosa que prometen funciones milagrosas. En un contexto en el que la mensajería se ha convertido en el centro de la vida digital, proteger tu cuenta de WhatsApp y tus datos personales se ha vuelto tan importante como cuidar la tarjeta bancaria o el DNI.
