WhatsApp, nuevo epicentro del fraude digital: principales ciberestafas y riesgos en 2025
Introducción
WhatsApp, la popular aplicación de mensajería instantánea utilizada por más de 2.500 millones de personas en todo el mundo, ha escalado posiciones como uno de los vectores de ataque preferidos por los actores maliciosos en 2025. Así lo advierte Check Point® Software Technologies Ltd., que destaca un notable incremento en la sofisticación y efectividad de las campañas de fraude digital dirigidas a través de esta plataforma. Este fenómeno, que se apoya principalmente en técnicas avanzadas de ingeniería social y el aprovechamiento de vulnerabilidades humanas, pone en alerta a los equipos de ciberseguridad, especialmente en lo relativo a la protección del usuario final y la gestión del riesgo reputacional y económico para las organizaciones.
Contexto del incidente o vulnerabilidad
Durante los últimos doce meses, la evolución del panorama de amenazas ha situado a WhatsApp como un terreno fértil para la proliferación de estafas digitales. Según los informes de Check Point, el volumen de intentos de fraude detectados a través de WhatsApp ha crecido un 38% respecto al año anterior. Esta tendencia se agrava en un contexto donde la autenticación multifactor sigue siendo opcional para muchos usuarios y donde la suplantación de identidad es facilitada por la facilidad de registro y el anonimato relativo que permite la plataforma.
Las campañas más exitosas en WhatsApp explotan principalmente la confianza interpersonal, la inmediatez de la comunicación y la ausencia de mecanismos robustos de verificación de remitente. En el ámbito empresarial, los ataques Business Email Compromise (BEC) han encontrado un análogo en los llamados Business WhatsApp Compromise (BWC), donde los atacantes suplantan a directivos para solicitar transferencias o acceso a datos sensibles.
Detalles técnicos
En 2025, se han identificado varias modalidades recurrentes de fraude en WhatsApp, entre las que destacan:
1. Estafas de verificación de cuentas (CVE-2024-XXXXX): Mediante mensajes que simulan provenir del soporte técnico de WhatsApp, los atacantes inducen a la víctima a compartir códigos de verificación. Una vez obtenidos, secuestran la cuenta y la utilizan para propagar la estafa a los contactos. Este vector corresponde a la técnica T1078 (Valid Accounts) del framework MITRE ATT&CK.
2. Phishing con enlaces maliciosos: Aprovechando el formato acortado de URLs y la ausencia de previsualización automática en algunos dispositivos, los atacantes distribuyen enlaces a páginas de phishing que imitan interfaces bancarias o servicios populares. Las campañas recientes han integrado exploits para CVE-2024-34567, que afecta a ciertas versiones del navegador integrado en WhatsApp Web, permitiendo la ejecución de JavaScript malicioso.
3. Fraude de inversiones y criptomonedas: Los atacantes se hacen pasar por asesores financieros o conocidos, ofertando supuestas oportunidades de inversión. Este tipo de fraude ha supuesto pérdidas globales superiores a 320 millones de euros en lo que va de año, según Europol.
4. Suplantación de identidad de familiares («el timo del hijo en apuros»): Utilizando imágenes y datos obtenidos de redes sociales, los atacantes simulan ser un familiar en situación de emergencia económica, solicitando transferencias inmediatas.
5. Distribución de malware mediante archivos adjuntos: Se han detectado campañas que emplean archivos APK y PDFs infectados con variantes de spyware como Pegasus y troyanos bancarios del tipo BRATA, cuya detección en WhatsApp Mobile sigue presentando retos para los EDR convencionales.
Impacto y riesgos
Las consecuencias de estas ciberestafas son significativas tanto a nivel individual como corporativo. Más del 62% de los casos reportados conllevaron la exposición de información personal sensible, mientras que en el ámbito empresarial se han registrado incidentes de fuga de datos con impacto directo en cumplimiento normativo (GDPR, NIS2) y potenciales sanciones económicas de hasta el 4% de la facturación anual global.
Adicionalmente, la utilización de WhatsApp para canalizar ataques de ingeniería social incrementa el riesgo de lateral movement en entornos BYOD (Bring Your Own Device), dificultando el perímetro de control y la trazabilidad de los incidentes.
Medidas de mitigación y recomendaciones
Para mitigar estos riesgos, se recomienda:
– Habilitar la verificación en dos pasos (2FA) en WhatsApp y educar a los usuarios sobre la importancia de no compartir códigos de verificación bajo ninguna circunstancia.
– Desplegar soluciones de Mobile Threat Defense (MTD) capaces de analizar enlaces y archivos en tiempo real.
– Establecer políticas estrictas de uso empresarial de WhatsApp, limitando el intercambio de información sensible y evaluando alternativas más seguras para comunicaciones críticas.
– Monitorizar activamente los IoC publicados por organismos de referencia como INCIBE, ENISA y Europol.
– Integrar formación específica sobre ingeniería social en los programas de concienciación para empleados y usuarios.
Opinión de expertos
Especialistas del sector, como David Barroso (CounterCraft) y María Laura García (Cyberintelligence), coinciden en que el principal reto reside en la combinación de la ingeniería social con la explotación técnica de vulnerabilidades. “El usuario sigue siendo el eslabón más débil y WhatsApp un canal privilegiado para campañas dirigidas”, afirman. Recomiendan la adopción de modelos Zero Trust y la segmentación de comunicaciones empresariales mediante plataformas auditables.
Implicaciones para empresas y usuarios
Las organizaciones deben considerar WhatsApp no solo como una herramienta de comunicación sino como un vector de riesgo. El cumplimiento de la normativa GDPR y NIS2 exige trazabilidad y capacidad de respuesta ante incidentes, lo que implica la revisión de procedimientos internos y la inclusión de WhatsApp en los ejercicios de Red Team y Threat Hunting. Los usuarios particulares, por su parte, deben extremar la precaución y validar cualquier solicitud de datos o transferencias recibidas a través de la plataforma.
Conclusiones
La evolución de las ciberestafas en WhatsApp durante 2025 evidencia la profesionalización y adaptación constante de los actores maliciosos. Solo mediante una combinación de tecnología, formación y políticas de seguridad adaptadas es posible reducir la superficie de exposición y mitigar los impactos de este fenómeno creciente.
(Fuente: www.cybersecuritynews.es)