“Varios usuarios han reportado tu cuenta de WhatsApp. Visita el sitio web oficial (...) para verificarla en un plazo de 24 horas”. Este es el mensaje que miles de mexicanos están recibiendo en sus teléfonos, y aunque parece una advertencia legítima, en realidad es el inicio de un fraude que puede costarte el control total de tu cuenta de WhatsApp.
El especialista en ciberseguridad Hiram Alejandro Camarillo alertó que se trata de una nueva campaña de phishing activa en México, que utiliza SMS con un link falso para engañar a los usuarios y robar su cuenta en minutos.
Así funciona la trampa paso a paso
El SMS llega a tu celular indicando que varios usuarios han reportado tu cuenta de WhatsApp y te pide “verificarla” de inmediato para evitar un bloqueo, dirigiéndote a un sitio web con apariencia idéntica al portal de seguridad de WhatsApp.
Una vez que la víctima entra, el sitio pide ingresar el número de teléfono con el pretexto de “verificar” la cuenta. El sitio incluye un tutorial paso a paso que indica a la víctima cómo abrir la función de dispositivos vinculados en WhatsApp, seleccionar ‘vincular dispositivo’ y elegir la opción de usar número de teléfono en lugar de código QR.
Al seguir estas instrucciones, el usuario termina ingresando un código que en realidad permite a los atacantes vincular otro dispositivo a la cuenta de WhatsApp de la víctima, permitiéndoles leer mensajes, suplantar su identidad y hasta pedir dinero a sus contactos.
¿Por qué esta campaña es tan peligrosa?
Este método no requiere instalar virus ni software espía. Se basa únicamente en la ingeniería social, es decir, en engañar al usuario para que entregue voluntariamente el acceso a su cuenta.
Además, el dominio utilizado en esta campaña (verification-ws[.]cc) fue creado apenas el 3 de julio de 2025, lo que confirma que se trata de una ola de ataques reciente y en curso en México.
Los atacantes ocultan sus huellas utilizando técnicas de ofuscación en el código, para que sea difícil identificar que en realidad el sitio está configurado para robar sesiones de WhatsApp. Incluso, como refiere Hiram, el panel de control de estos atacantes está en chino tradicional, lo que sugiere operaciones en Hong Kong, Taiwán o Macao.
Cómo protegerte de esta estafa
- Si recibes un SMS diciendo que tu cuenta de WhatsApp fue reportada o que debes verificarla, no abras el enlace y elimina el mensaje de inmediato.
- Activa la verificación en dos pasos en WhatsApp para añadir una capa extra de seguridad a tu cuenta, y revisa frecuentemente los dispositivos vinculados en tu cuenta de WhatsApp, cerrando sesión en aquellos que no reconozcas.
- En caso de haber caído en esta estafa, entra de inmediato a la app, ve a “Dispositivos vinculados” y cierra todas las sesiones abiertas, posteriormente activa el doble factor de verificación y cambia el PIN de seguridad.
