Miles de usuarios en España están perdiendo el control de sus cuentas de mensajería instantánea debido a una modalidad de fraude cada vez más sofisticada. Los ciberdelincuentes consiguen acceso total al perfil de la víctima mediante un simple código de seis dígitos, lo que les permite suplantar identidades y continuar la cadena de engaños entre familiares y amigos. Esta técnica, conocida como 'secuestro de cuenta', se ha convertido en una de las amenazas más extendidas durante este 2026.
El modus operandi resulta aparentemente sencillo pero tremendamente efectivo. Los estafadores contactan con la víctima haciéndose pasar por el servicio técnico oficial de la aplicación o, en otros casos, simulan ser un contacto cercano. El objetivo siempre es el mismo: conseguir que la persona facilite voluntariamente el código de verificación que la plataforma envía por mensaje de texto al intentar registrar el número en un nuevo dispositivo.
Metodología del fraude telefónico
El Instituto Nacional de Ciberseguridad (INCIBE) ha recogido a través de su Línea de Ayuda en el 017 testimonios alarmantes sobre cómo se ejecuta esta estafa. En uno de los casos más recientes, una mujer adulta recibió una llamada desde un número con prefijo estadounidense. Al contestar, una voz femenina se identificó como personal del soporte técnico oficial, advirtiéndole de una supuesta intrusión en su cuenta.
Durante la conversación, los delincuentes siguieron un guion perfectamente diseñado. Primero solicitaron información sobre la marca y modelo del teléfono móvil de la víctima, un dato aparentemente inocente que añade credibilidad al engaño. Posteriormente, le indicaron que recibiría un código de seguridad de seis cifras que debía comunicarles inmediatamente para «confirmar su identidad» y «proteger su cuenta».
La víctima, convencida de estar colaborando con el servicio oficial de ayuda, proporcionó el código sin sospechar las consecuencias. En cuestión de segundos perdió completamente el acceso a su perfil. Los atacantes habían logrado registrar el número de teléfono en su propio dispositivo, expulsando automáticamente a la propietaria legítima de la cuenta.
Variante mediante contactos conocidos
Existe otra modalidad igualmente peligrosa de este fraude que explota la confianza entre personas cercanas. Los estafadores utilizan cuentas previamente secuestradas para contactar con los amigos y familiares de la víctima anterior. Los mensajes parecen provenir de alguien conocido y contienen peticiones aparentemente inofensivas.
Las excusas empleadas varían desde problemas técnicos hasta supuestas verificaciones de seguridad. «¿Me ha llegado un código por error? ¿Me lo puedes reenviar?» o «Necesito ese código que te acaba de llegar para recuperar mi cuenta» son algunas de las frases más utilizadas. La persona que recibe el mensaje confía en que está ayudando a un conocido, sin percatarse de que está entregando las llaves de su propia cuenta.
Una vez que los delincuentes obtienen acceso, el perfil secuestrado se convierte en una herramienta para perpetuar la estafa. Pueden revisar conversaciones privadas, acceder a fotografías y documentos compartidos, pero sobre todo, contactar con toda la lista de contactos para solicitar transferencias de dinero urgentes, habitualmente a través de Bizum.
Consecuencias para las víctimas
Las repercusiones de caer en este tipo de fraude van más allá de la simple pérdida de acceso a una aplicación de mensajería. Los estafadores aprovechan la credibilidad del perfil robado para solicitar préstamos económicos a familiares y amigos, argumentando situaciones de emergencia ficticias. Muchas personas han transferido cantidades significativas de dinero creyendo estar ayudando a un ser querido en apuros.
Además del daño económico directo, existe un componente emocional considerable. Las víctimas experimentan sentimientos de culpa y vergüenza al descubrir que su cuenta ha sido utilizada para estafar a personas de su entorno. La recuperación de la confianza en las relaciones personales puede llevar tiempo, incluso después de haber resuelto el problema técnico.
Medidas de protección recomendadas
El INCIBE ha publicado una serie de recomendaciones específicas para prevenir este tipo de ataques. La primera y más importante es habilitar la verificación en dos pasos dentro de la configuración de seguridad de la aplicación. Esta función añade una capa adicional de protección mediante un PIN de seis dígitos que solo el usuario legítimo conoce.
Es fundamental comprender que ningún servicio técnico oficial solicitará jamás el código de verificación enviado por SMS. Estas claves están diseñadas exclusivamente para que el usuario las introduzca directamente en su dispositivo, nunca para compartirlas con terceros, independientemente de quién afirme ser la persona que las solicita.
En caso de recibir mensajes sospechosos, incluso de contactos conocidos, se recomienda verificar la identidad mediante una llamada telefónica o un contacto por un canal alternativo antes de facilitar cualquier información. Los delincuentes cuentan con que la víctima actúe por impulso, sin detenerse a confirmar la autenticidad de la solicitud.
Actuación tras sufrir el fraude
Si una persona detecta que ha perdido el control de su cuenta, debe actuar con rapidez. El primer paso consiste en intentar recuperar el acceso introduciendo nuevamente el número de teléfono en la aplicación y solicitando un nuevo código de verificación. En muchos casos, esto expulsará al intruso del perfil.
Paralelamente, resulta crucial avisar a todos los contactos mediante canales alternativos sobre el secuestro de la cuenta. Llamadas telefónicas, mensajes a través de otras plataformas o redes sociales pueden prevenir que más personas caigan en el engaño y realicen transferencias de dinero a los estafadores.
El INCIBE también insiste en la importancia de recopilar todas las pruebas posibles del fraude: capturas de pantalla de conversaciones sospechosas, registros de llamadas recibidas, y cualquier otro elemento que pueda ayudar en la investigación. Estos materiales deben presentarse al interponer la correspondiente denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.