WhatsApp se ha convertido en 2025 en el gran caldo de cultivo para las estafas digitales. Con más de 3.000 millones de usuarios en todo el mundo y una implantación casi total en España y buena parte de Europa, la aplicación de mensajería se ha transformado en el canal preferido de los ciberdelincuentes para lanzar fraudes que mezclan urgencia, confianza y una ingeniería social cada vez más afinada.
Expertos en ciberseguridad y firmas como Check Point Software y McAfee alertan de que las estafas en WhatsApp en 2025 son más creíbles, emocionales y difíciles de detectar. A ello se suma el impacto de la inteligencia artificial, que permite clonar voces, crear páginas web falsas casi perfectas y orquestar campañas masivas que empiezan fuera de la app but terminan, casi siempre, en una conversación de chat.
WhatsApp, uno de los grandes vectores de fraude digital
Durante 2025, WhatsApp se ha consolidado como uno de los principales vectores de fraude digital, tanto en España como en el resto de Europa. Los delincuentes la utilizan como punto de partida de la estafa o como etapa final del engaño, una vez han ganado la confianza de la víctima a través de otros servicios.
Las investigaciones de Check Point Software y otros laboratorios de seguridad coinciden en que la clave está en explotar emociones como el miedo, la urgencia y la confianza, lo que refleja la inseguridad en las redes sociales.
Los atacantes aprovechan, además, que en WhatsApp solemos hablar con familia, amigos, compañeros de trabajo o marcas que conocemos. Esa sensación de proximidad y falsa seguridad es el terreno ideal para colar enlaces maliciosos, solicitudes de dinero o peticiones de códigos de verificación.
En 2025 se han repetido una y otra vez los mismos patrones: mensajes inesperados, tono alarmista, prisas y promesas de resolver un problema urgente. Cambia el pretexto —un hijo en apuros, una multa pendiente o un paquete bloqueado—, pero la mecánica de la estafa es básicamente la misma.
Según los expertos, las campañas más sofisticadas combinan varios canales: empiezan, por ejemplo, en plataformas legítimas como Google Classroom, Facebook o TikTok, y solo cuando el usuario ya confía en el remitente se le invita a continuar por WhatsApp, donde se ejecuta el fraude.
El timo del hijo en apuros: la estafa más emocional del año
Entre todas las estafas en WhatsApp de 2025, la del “hijo en apuros” se mantiene como la más extendida y la que más víctimas ha dejado en España. Su fuerza reside en el componente emocional: ataca directamente a la preocupación de padres y madres por sus hijos.
El esquema es sencillo pero demoledor. La víctima recibe un mensaje desde un número desconocido en el que el remitente afirma ser su hijo o hija. Explica que ha perdido el móvil, que está usando un teléfono prestado y que se encuentra en una situación urgente: un accidente, un robo, un problema inesperado en el extranjero o la imposibilidad de acceder a la cuenta bancaria.
Acto seguido llega la petición de dinero: se solicita una transferencia inmediata, un Bizum o el pago de una factura “para salir del apuro”. El mensaje suele insistir en que no puede hablar por teléfono o que está demasiado nervioso para explicar mucho más, lo que refuerza la sensación de urgencia y reduce el margen para pensar con calma.
Este patrón se ha repetido tanto que las fuerzas y cuerpos de seguridad en España han emitido avisos específicos explicando cómo actuar. La recomendación básica es siempre la misma: antes de enviar dinero, comprobar por otra vía si el familiar está realmente en apuros, ya sea llamando a su número habitual, a otros parientes o incluso acordando una palabra o código secreto.
En los últimos meses, además, la inteligencia artificial ha llevado este fraude a un nivel superior. Ya no se trata solo de mensajes de texto: muchas víctimas están recibiendo audios en los que escuchan lo que parece ser la voz real de su hijo o hija, suplicando ayuda con nerviosismo y prisa.
La IA y la clonación de voz disparan el riesgo
Investigadores como Oliver Devane, de McAfee, advierten de que las herramientas de clonación de voz mediante IA permiten recrear el timbre y la entonación de una persona con apenas unos segundos de audio. Esos fragmentos pueden obtenerse de redes sociales, vídeos públicos, mensajes de voz filtrados o incluso llamadas breves.
Con esta tecnología, los ciberdelincuentes pueden enviar un mensaje de audio que suena prácticamente igual que el familiar de la víctima. El resultado es un engaño mucho más creíble y difícil de cuestionar, incluso para los propios padres, que llegan a reconocer expresiones, tono o muletillas que asocian a su hijo.
El modus operandi suele seguir un patrón muy marcado: contacto inesperado, relato dramático, presión temporal y solicitud económica inmediata. Se ofrecen pocos detalles concretos, pero se insiste en que es una emergencia, se facilita un número de cuenta o un enlace de pago, y se pide actuar “ya mismo” para evitar consecuencias graves.
Los expertos subrayan que ni siquiera ver el número habitual en pantalla garantiza nada. La suplantación de números de teléfono (spoofing) también está en alza; conviene conocer los números de teléfono que no hay que contestar.
Para minimizar el riesgo, se recomiendan varias medidas prácticas: acordar previamente con la familia una palabra clave de verificación, no tomar decisiones económicas en caliente y, ante cualquier duda, cortar la conversación y llamar directamente a números fiables o a otros allegados que puedan confirmar la situación.
Ghost pairing: el secuestro silencioso de cuentas de WhatsApp
Otra de las grandes amenazas de 2025 es el llamado “ghost pairing” o secuestro silencioso de cuentas. Esta técnica permite a los atacantes vincular la cuenta de WhatsApp de la víctima a otro dispositivo sin necesidad de robar la SIM ni conocer la contraseña.
Los expertos de Check Point explican que el proceso arranca casi siempre con mensajes engañosos. A veces llegan desde un contacto que ya ha sido comprometido, otras desde un número desconocido que se hace pasar por un servicio de soporte, una empresa de mensajería o una plataforma de fotos.
En una de las variantes más peligrosas, los delincuentes envían un enlace que dirige a una página web fraudulenta que imita a un gestor de imágenes o a un servicio conocido. El mensaje suele sonar familiar: “Mira, salimos en esta foto”, “¿Este eres tú?” o “Tienes fotos antiguas para descargar”.
Al entrar en la web, se pide al usuario que introduzca su número de teléfono y siga unos pasos aparentemente rutinarios. En realidad, se está aprovechando la función de vinculación de dispositivos de WhatsApp Web o WhatsApp multidispositivo para asociar la cuenta de la víctima al dispositivo del ciberdelincuente.
En otras variantes, los atacantes fingen que ha habido un problema de seguridad y logran que el usuario les reenvíe el código de verificación de WhatsApp que recibe por SMS, algo que nunca debería compartirse con nadie. Una vez con ese código, pueden completar el emparejamiento fantasma.
Acceso total sin que la víctima se entere
Una vez que el ghost pairing se ha consumado, el estafador pasa a tener acceso prácticamente completo a la cuenta. Puede leer conversaciones, descargar archivos, consultar información personal o profesional sensible y, lo más preocupante, utilizar esa identidad para engañar a más contactos.
La peligrosidad de este método radica en que la víctima puede no notar nada extraño durante un tiempo. Sigue usando WhatsApp con normalidad desde su móvil, mientras en segundo plano otro dispositivo ya está vinculado y actuando en su nombre.
Desde esa cuenta secuestrada, los ciberdelincuentes envían a familiares, amigos o compañeros nuevos enlaces fraudulentos, peticiones de dinero o solicitudes de datos. Al venir de un contacto de confianza, las probabilidades de que otros caigan en la trampa se disparan.
Para prevenir este tipo de ataques, los especialistas recomiendan varias acciones básicas: nunca compartir códigos de verificación, revisar periódicamente qué dispositivos están vinculados a la cuenta desde los ajustes de WhatsApp y desconectar cualquier sesión sospechosa.
También es crucial mantener la aplicación actualizada, activar funciones de seguridad adicionales como la verificación en dos pasos y desconfiar de cualquier mensaje que pida introducir credenciales o códigos en webs a las que se accede desde un enlace recibido por chat.
Suplantación de organismos oficiales: multas, trámites y falsas urgencias
Otra tendencia que se ha consolidado en 2025 es la suplantación de organismos públicos a través de WhatsApp. No es raro que los usuarios en España reciban mensajes que parecen proceder de la Dirección General de Tráfico (DGT) u otras administraciones, alertando de supuestas multas o incidencias administrativas.
En estos avisos, el tono suele ser serio y burocrático: se habla de sanciones pendientes, plazos que están a punto de vencer o bloqueos de trámites. A veces incluyen logotipos y textos muy cuidados, generados incluso con ayuda de herramientas de inteligencia artificial para que resulten convincentes.
El siguiente paso casi siempre pasa por redirigir a la víctima a una página web que imita al organismo oficial, donde se le pide introducir datos personales, información bancaria o directamente realizar un pago de forma inmediata. En otros casos, se le insta a seguir la conversación en WhatsApp para “resolver la incidencia” de manera más rápida.
Las autoridades y las empresas de ciberseguridad insisten una y otra vez: ninguna administración pública tramita el pago de multas ni solicita datos sensibles a través de WhatsApp. Si llega un mensaje de este tipo, lo más prudente es ignorarlo, comprobar la información en la sede electrónica oficial o llamar a los canales de atención al ciudadano.
En Europa también se han detectado campañas similares asociadas a autoridades fiscales, servicios de salud o agencias de transporte. El gancho cambia según el país, pero la trampa de fondo es la misma: hacerse pasar por un organismo creíble para robar credenciales o dinero.
Grandes marcas y servicios de mensajería, el otro gran señuelo
Junto a los organismos públicos, las grandes marcas y plataformas digitales son el otro pilar de las estafas en WhatsApp en 2025. Empresas de comercio electrónico, servicios de streaming, compañías de mensajería o bancos aparecen constantemente suplantados en estos fraudes.
En España y otros países europeos son habituales los mensajes que dicen venir de Correos, Amazon u otros servicios de paquetería, especialmente en épocas de compras intensivas como Navidad o rebajas. El contenido suele hablar de envíos extraviados, paquetes retenidos en aduanas, tasas pendientes o problemas con la dirección de entrega.
Al usuario se le pide pulsar en un enlace para “regularizar la situación” o pagar un pequeño importe por gastos de gestión. Detrás de ese enlace, de nuevo, suele haber una web fraudulenta que imita el aspecto de la empresa real y donde se recolectan datos bancarios o se instala malware.
También proliferan los mensajes que aparentan proceder de plataformas como Netflix u otros servicios de suscripción, avisando de cargos sospechosos, cuentas bloqueadas o necesidad de actualizar los datos de pago. El objetivo final, en la mayoría de los casos, es quedarse con las credenciales de acceso o con la tarjeta del usuario.
Los especialistas remarcan una regla de oro: ninguna empresa seria va a pedir claves, códigos de verificación o datos completos de tarjeta por WhatsApp. Si llega un mensaje de este tipo, es preferible entrar directamente en la web o app oficial de la compañía, o dirigirse a su servicio de atención al cliente por los canales que aparezcan en sus páginas oficiales.
Fraudes que empiezan fuera de WhatsApp y acaban en el chat
Una evolución destacada de 2025 es que muchas campañas de fraude ya no arrancan dentro de WhatsApp. Los ciberdelincuentes se sirven de plataformas legítimas para iniciar el contacto y solo después trasladan la conversación a la aplicación de mensajería, donde están más cómodos.
Check Point Research ha identificado, por ejemplo, campañas masivas de phishing que utilizan Google Classroom como anzuelo inicial. Los atacantes envían invitaciones falsas a supuestos cursos, tareas o documentos compartidos y, una vez que la víctima interactúa, le proponen seguir hablando por WhatsApp “para aclarar dudas” o “gestionar la matrícula”.
También se han observado patrones similares en redes sociales como Facebook o TikTok. Mediante anuncios, publicaciones o mensajes privados, se promete un sorteo, una oferta de trabajo, una inversión rentable o un premio. Cuando el usuario muestra interés, se le pide continuar el contacto por WhatsApp, donde ya se despliega el fraude con más libertad.
El propósito de este enfoque híbrido es sencillo: aprovechar el prestigio de una plataforma conocida para ganar credibilidad inicial y, una vez conquistada la confianza, llevar a la víctima a un entorno menos regulado como es la mensajería instantánea.
Expertos como Eusebio Nieva, director técnico de Check Point Software para España y Portugal, lo resumen así: WhatsApp se ha convertido en el escenario perfecto para la ingeniería social. Es directo, personal, inmediato y genera la sensación de estar hablando con alguien cercano, lo que facilita bajar la guardia.
Recomendaciones clave para esquivar las estafas en WhatsApp
Ante este panorama, los especialistas en ciberseguridad repiten el mismo mensaje: la mejor defensa sigue siendo la prevención y el sentido crítico. Ninguna herramienta técnica sustituye a la prudencia del usuario a la hora de gestionar mensajes inesperados.
El primer consejo es muy básico pero efectivo: desconfiar de cualquier mensaje que llegue de improviso, especialmente si pide dinero, datos o códigos. Esto vale tanto para números desconocidos como para contactos que, de repente, comienzan a comportarse de forma extraña o a solicitar ayudas urgentes.
En caso de duda, se recomienda siempre verificar la identidad del remitente por un canal alternativo. Puede ser una llamada telefónica al número habitual, un correo electrónico, un mensaje a otro familiar o incluso una consulta directa a la empresa u organismo supuestamente implicado.
Otra norma fundamental es no pulsar enlaces incluidos en mensajes sospechosos sin haber comprobado antes su legitimidad. Es preferible escribir manualmente la dirección en el navegador o acceder desde marcadores propios, en lugar de fiarse de lo que llega por chat.
Por último, conviene mantener WhatsApp y el resto de aplicaciones siempre actualizadas, activar la verificación en dos pasos, revisar con frecuencia los dispositivos vinculados a la cuenta y cuidar la gestión de la privacidad en redes sociales, y educar a familiares —especialmente a personas mayores y jóvenes muy expuestos en redes— sobre cómo operan estas estafas.
Con el aumento de las estafas en WhatsApp en 2025 y el empuje de la inteligencia artificial, la combinación de desconfianza razonable, verificación de la información y uso de las medidas de seguridad disponibles se ha vuelto imprescindible para no caer en fraudes que, cada vez más, juegan con nuestras emociones, nuestros datos y nuestra vida cotidiana en el móvil.
