Las estafas en los servicios de mensajería como WhatsApp son cada vez más frecuentes. Sólo en agosto de 2025, Meta confirmó la eliminación de más de 6,8 millones de cuentas de WhatsApp vinculadas a estafas. Una de las que ha ganado notoriedad en WhatsApp, pretende que la víctima comparta su pantalla, para luego obtener datos personales acceso a cuentas y servicios de su dispositivo, incluso dinero. Vamos a tratar a fondo cómo funciona este tipo de amenaza.
Esta estafa combina tres elementos clave: una videollamada (que puede generar confianza), añadiendo el sentido de urgencia (que genera miedo) y el hecho de compartir pantalla (que concede acceso total al dispositivo por parte del ciberdelincuente).
Vamos a tratar en este artículo, cómo funciona este nuevo método de estafa, cómo logra que las personas compartan sus pantallas, cuales son las consecuencias de ser víctima, ejemplos reales y cómo protegernos de ella.
¿Cómo funciona el engaño?
El engaño se produce a través de WhatsApp y tiene como objetivo que la persona comparta su pantalla, valiéndose de una herramienta que suele ser muy efectiva para el ciberdelito: la Ingeniería Social.
A través de esta táctica, buscan crear confianza y generar sentido de urgencia, para aprovechar el miedo o curiosidad de la víctima, para luego llevar a cabo la estafa. El paso a paso de una estafa tan actual como peligrosa, sigue el siguiente patrón:
- La llamada: se produce el contacto a través de una videollamada de WhatsApp de un número desconocido. El estafador se hace pasar por representante de una entidad bancaria, empresa proveedora de servicios, miembro del equipo de soporte técnico de WhatsApp, Meta, o incluso un familiar o amigo que se encuentra en apuros. Se valen de número de teléfonos falsificados, con el objetivo que parezcan locales u oficiales, y la pantalla del interlocutor durante la videollamada suele verse negra o muy borrosa.
- Planteamiento de un problema urgente: generando sentido de urgencia en la víctima, el estafador utiliza diversos señuelos, como un cargo en cuenta no autorizado, una sesión abierta en otro dispositivo, un premio que necesita de verificación para su entrega o incluso, el bloqueo inminente de una cuenta.
- Solicitud de compartir pantalla: para resolver el problema planteado, durante la videollamada el estafador pide activar la función de compartir pantalla. Incluso, es posible que también guíen a la víctima para que se instale una app del tipo AnyDesk o TeamViewer. La excusa suele ser, que necesitan esa herramienta para verificar el problema y dar soporte de manera remota. Una vez la víctima comparte pantalla, el estafador fuerza el envío del código de seguridad de WhatsApp. El SMS llega y aparece en la parte superior de la pantalla, quedando visible para el estafador, que de esta forma puede tomar el control de la cuenta.
- Acceso a contraseñas y datos personales: una vez la víctima ha compartido su pantalla, el ciberdelincuente puede ver todo lo que sucede en tiempo real y por esta razón, suelen pedir que se abra la app bancaria u otras de interés. Existen casos avanzados en los cuales instalan malware del tipo keyloggers, para poder robar más datos en otro momento.
- Robo de credenciales, cuentas y dinero: una vez obtienen los ciberdelincuentes la información sensible, la usan para transferir dinero, vaciar cuentas o incluso tomar control del WhatsApp de sus víctimas o pedir dinero a los contactos en nombre de la víctima. El daño puede suponer la pérdida de una cantidad importante de dinero, como vamos a ver a continuación.
Casos reales de víctimas del engaño
El método, además de ser novedoso, registró una actividad muy fructífera para los ciberdelincuentes por todo el mundo. Hasta el punto de que en julio de este año, el Instituto Nacional de Ciberseguridad de España (INCIBE) emitió un comunicado para alertar a la ciudadanía.
A través de Reddit, un usuario de Brasil, compartió cómo su madre fue estafada, perdiendo 3.000 reales (unos 487 € al cambio actual). El señuelo fue la llamada de una supuesta «amiga», alegando que había realizado una compra en OLX y necesitaba que alguien confirmase dicha operación. Dicha amiga, había sido engañada previamente, por lo que el actor malicioso llegó a suplantar su identidad.
Esto, derivó en una videollamada, en la que el estafador utilizando técnicas de ingeniería social, convenció a la víctima de compartir pantalla y abrir su app de banca. La cuenta bancaria de la víctima quedó vacía, además de verse vulneradas sus cuentas de WhatsApp y Gmail.
En otro caso, esta vez en Hong Kong, la pérdida monetaria fue mayor. La víctima perdió 5,5 millones de dólares. La excusa para conseguirlo, fue brindar soporte para dar de baja un servicio de telecomunicaciones, que tal como sucede en dicha estafa, derivó en que la persona compartiera su pantalla. Al abrir la app de la cuenta bancaria, el estafador convenció a la víctima para compartir contraseña y código de verificación, para luego apoderarse de sus fondos.
¿Cómo protegerse ante dicha estafa?
Es posible reducir el riesgo de convertirse en víctima de esta estafa o cualquier otra que involucra técnicas de Ingeniería Social. Para ello, es conveniente tener en cuenta los siguientes consejos:
No compartir pantalla: esta estafa demuestra lo peligroso que puede llegar a ser compartir pantalla, más si no estamos seguros con quién se está hablando.
No facilitar códigos de verificación: dado que esta medida de seguridad es personal e intransferible, lo más aconsejable es no compartirlos con nadie. Y menos, a través de una llamada o mensaje recibida, que no una que hayamos realizado nosotros al servicio correspondiente.
No brindar información personal o sensible: por más excusas o argumentos que nos ofrezca el interlocutor, no se debe dar o facilitar información personal confidencial a través de una llamada. Es muy importante recordar, que las empresas u organismos gubernamentales no piden este tipo de información por esas vías.
Contrastar la información: en el caso de recibir una llamada en la que se informa que un familiar o conocido tiene problemas, es importante verificar dicha información con la persona en cuestión y por otros medios disponibles. Si el contacto es originado por una empresa u organización, es conveniente contrastarlo a través de sus canales oficiales, y no por los que nos facilitan los presuntos atacantes.
Habilitar el doble factor de autenticación: esta medida de seguridad adicional es clave, y en este sitio no nos cansamos de recomendarla, ya que en caso de que un cibercriminal haya obtenido nuestras credenciales de acceso (usuario y contraseña), necesitará este segundo factor para poder acceder, lo cual dificultará su intento de vulnerar nuestra cuenta.
Conclusión
Este tipo de estafas, como la analizada en este artículo, es una muestra más de cómo la ingeniería social supone una de las amenazas más peligrosas en el ámbito de la ciberseguridad.
No depende de fallos técnicos, sino que basta con provocar una acción impulsiva en la víctima, para que el engaño se consume.
La sofisticación de estas técnicas maliciosas, ha aumentado considerablemente, lo que hace que incluso las personas más cautelosas puedan llegar a caer en la trampa.
Por ello, además de invertir en soluciones de protección, como firewalls y software antivirus, es fundamental estar informados sobre las tendencias más recientes en ciberestafas. Saber reconocer las señales de alerta se convierte en un aspecto crucial de la educación en ciberseguridad; esto incluye desconfíar de solicitudes inusuales, como mensajes de correos electrónicos, que parecen legítimos pero que en realidad ocultan intenciones maliciosas.
Asimismo, adoptar hábitos seguros, como utilizar contraseñas fuertes y únicas, habilitar la autenticación en dos pasos, y mantener una actitud crítica hacia cualquier solicitud de información personal puede marcar la diferencia entre ser una víctima o un usuario informado y protegido.
STI 2020 ® 
Deja un comentario