Una estafa en rápida expansión está poniendo en jaque a usuarios de WhatsApp alrededor del mundo, aprovechando una de las funciones más recientes de la aplicación: la opción de compartir pantalla durante videollamadas. Lo que nació como una herramienta práctica para soporte remoto o trabajo colaborativo se ha convertido en un recurso explotado por ciberdelincuentes para robar datos, identidades y grandes sumas de dinero. Los reportes se multiplican en países como Reino Unido, India, Brasil y Hong Kong, donde una víctima llegó a perder HK$5.5 millones (alrededor de 600 mil euros) tras caer en un engaño meticulosamente planificado.
Desde ESET, compañía líder en ciberseguridad, detallamos cómo operan estos fraudes y qué medidas esenciales pueden prevenir que los usuarios se conviertan en su próxima víctima.
“Los ciberdelincuentes saben que el miedo bloquea el pensamiento crítico. Si logran que la persona se asuste durante los primeros segundos de la llamada, tienen medio camino hecho”, advierte Josep Albors, director de Investigación y Concienciación de ESET España. “El simple gesto de compartir la pantalla da a los atacantes una ventana completa a la vida digital del usuario. Es como entregarles la llave maestra”.
Un fraude que explota la confianza y el miedo
A diferencia de ataques más técnicos, este fraude se apoya principalmente en la manipulación psicológica: generar confianza, introducir un problema urgente y obtener control sobre la víctima. El mecanismo suele seguir estos pasos:
1. La llamada inicial: el engaño comienza con una videollamada de un número desconocido. El estafador puede hacerse pasar por un empleado de un banco, servicio técnico de WhatsApp o Meta, o incluso simular ser un familiar con un problema urgente. Para dar credibilidad, suelen suplantar un número local y mantener su cámara apagada o con la imagen borrosa.
2. La urgencia: el atacante plantea un falso escenario crítico, por ejemplo, un cargo sospechoso en la tarjeta, una sesión abierta en otro dispositivo, un premio pendiente o el riesgo de suspensión de la cuenta. La meta es activar el miedo y lograr que la persona actúe sin pensar.
3. La “ayuda” mediante compartir pantalla: para “resolver” el supuesto problema, el estafador solicita compartir la pantalla del móvil o incluso instalar aplicaciones legítimas de acceso remoto como AnyDesk o TeamViewer. En ese momento, puede ver códigos de verificación, mensajes entrantes y cualquier movimiento en tiempo real, lo que le permite tomar control del WhatsApp de la víctima.
4. Acceso a datos sensibles: con la visibilidad completa del dispositivo, los criminales pueden robar contraseñas, OTPs, SMS, códigos 2FA, o incluso guiar a la víctima para que abra su app bancaria y realizar transferencias bajo engaño. También pueden inducir a la instalación de malware, como keyloggers.
5. Robo de cuentas y dinero: una vez dentro, pueden vaciar cuentas bancarias, tomar control de redes sociales y continuar la cadena delictiva suplantando a la víctima para estafar a familiares y contactos.
Cómo protegerse de este tipo de estafas
El éxito del fraude se basa en tres factores: confianza, urgencia y control. Reducir el riesgo depende más de la conducta del usuario que de las herramientas tecnológicas. ESET recomienda:
· Nunca compartas la pantalla con desconocidos: especialmente si la llamada es inesperada. Ante cualquier supuesta alerta bancaria o técnica, corta la llamada y contacta directamente a la institución por canales oficiales.
· No compartas contraseñas ni códigos: ningún banco, servicio o empresa te solicitará claves, PINs o códigos de verificación mediante llamadas o mensajes no solicitados.
· Evita instalar aplicaciones de acceso remoto por indicación de terceros: estos programas dan control total del dispositivo y son una de las puertas principales de este fraude.
· Verifica cualquier información alarmante: los estafadores buscan generar pánico y acelerar decisiones. Lo mejor es detenerse, analizar la situación y comprobar todo de forma independiente.
· Activa la verificación en dos pasos en WhatsApp: en Configuración, Cuenta y Verificación en dos pasos, creando un PIN adicional que bloquea accesos no autorizados incluso si obtienen los códigos de inicio de sesión.
“Las estafas que involucran ingeniería social siguen siendo una de las herramientas más efectivas para los ciberdelincuentes. Este caso demuestra cómo solo con que bajemos la guardia durante un instante puede derivar en pérdidas económicas devastadoras. La información y el escepticismo consciente continúan siendo la primera barrera de protección para los usuarios”, concluye Albors.