El Servicio General de Inteligencia y Seguridad de los Países Bajos (AIVD) emitió una alerta sobre una creciente campaña de phishing dirigida a usuarios de aplicaciones de mensajería como WhatsApp y Signal, mediante la cual ciberdelincuentes buscan tomar control de cuentas personales para acceder a conversaciones, contactos y grupos de chat.
Según el informe de ciberseguridad, los atacantes utilizan principalmente técnicas de ingeniería social, es decir, engaños diseñados para manipular a la víctima y lograr que entregue información sensible o permita el acceso a su propia cuenta.
Las campañas han sido detectadas en distintos países y han tenido como objetivo a funcionarios públicos, periodistas y personas con acceso a información sensible. No obstante, cualquier usuario de estas plataformas puede convertirse en víctima de este tipo de fraude digital.
Métodos usados para robar cuentas
Especialistas en ciberseguridad han identificado dos métodos principales que utilizan los atacantes para comprometer cuentas en WhatsApp o Signal.
El primero consiste en el secuestro directo de la cuenta. En este caso, los delincuentes se hacen pasar por el soporte técnico de la aplicación o por supuestos sistemas automáticos de seguridad. La víctima recibe un mensaje que advierte sobre actividades sospechosas en su cuenta y se le solicita realizar un proceso de verificación.
Durante ese procedimiento, el usuario es inducido a compartir el código de verificación recibido por SMS o el PIN de la aplicación. Con estos datos, los atacantes pueden registrar la cuenta en otro dispositivo y obtener control total del perfil, incluyendo acceso a contactos y conversaciones privadas.
El segundo método se basa en el uso de enlaces falsos o códigos QR maliciosos. Los ciberdelincuentes envían invitaciones a grupos o supuestas solicitudes de verificación. Sin embargo, al abrir el enlace o escanear el código, la víctima termina vinculando su cuenta a un dispositivo controlado por los atacantes.
Una vez realizado este vínculo, los delincuentes pueden leer los chats, revisar el historial de conversaciones e incluso enviar mensajes en nombre de la víctima, muchas veces sin que el usuario lo note de inmediato.
Recomendaciones para evitar ser víctima
En el Perú, la Policía Nacional del Perú, a través de su unidad especializada en ciberdelincuencia, también ha advertido sobre estafas que implican la suplantación de cuentas en aplicaciones de mensajería.
Entre los casos más comunes se encuentran mensajes falsos que solicitan códigos de verificación, enlaces maliciosos relacionados con supuestos premios o promociones, así como invitaciones a grupos que en realidad buscan vincular dispositivos externos a la cuenta del usuario.
Los especialistas recomiendan no compartir nunca códigos de verificación ni el PIN de seguridad, incluso si el mensaje parece provenir del soporte técnico de la aplicación.
También aconsejan desconfiar de mensajes que generen urgencia, como alertas sobre problemas en la cuenta o solicitudes para escanear códigos QR y abrir enlaces desconocidos.
Otra medida clave es revisar periódicamente la lista de dispositivos vinculados dentro de las configuraciones de WhatsApp o Signal y eliminar aquellos que resulten sospechosos o que el usuario no reconozca.
La prevención y el cuidado de la información personal siguen siendo las herramientas más efectivas frente al crecimiento de los fraudes digitales.
