Recuperar una cuenta de WhatsApp robada es una pesadilla que mucha gente conoce. WhatsApp no tiene atención al cliente humana real para usuarios estándar, el proceso de recuperación pasa por formularios automatizados que tardan días o semanas y, mientras tanto, el atacante está usando tu cuenta para estafar a tus contactos haciéndose pasar por ti. El daño reputacional puede ser tan grave como la pérdida de mensajes y archivos.
La buena noticia es que la mayoría de robos de cuenta no requieren técnicas sofisticadas. Aprovechan errores de configuración, descuidos al recibir un código por SMS o ataques de SIM swap que se podrían haber prevenido con medidas básicas. Esta guía recoge las quince acciones concretas que cualquier usuario de WhatsApp debería tener activadas en 2026, ordenadas por orden de prioridad.
Cómo se roba una cuenta de WhatsApp en 2026
Antes de las medidas, conviene entender los tres vectores que están detrás del 90% de los robos de cuenta:
El timo del código de verificación. El atacante te contacta haciéndose pasar por un familiar, un amigo o un servicio de soporte y te dice que te va a llegar un código por SMS por error. Te pide que se lo reenvíes. Ese código es el de verificación de WhatsApp para registrar tu número en otro dispositivo. Si lo das, pierdes la cuenta inmediatamente.
El SIM swap. El atacante consigue que tu operador transfiera tu número a una tarjeta SIM que él controla, normalmente con datos personales obtenidos de filtraciones o ingeniería social al servicio de atención al cliente. Una vez tiene tu número, recibe los SMS y puede registrar WhatsApp en su dispositivo. Es un ataque más sofisticado pero ha crecido en España en los últimos años.
El malware en el dispositivo. Especialmente en Android con apps instaladas fuera de Google Play. Un infostealer puede leer los SMS entrantes y enviarlos al atacante en tiempo real, eludiendo cualquier verificación basada en código por mensaje.
Las quince medidas que vienen a continuación cierran las tres vías. Algunas son obvias, otras menos. Todas se activan en menos de un minuto cada una.
Las medidas básicas que casi nadie tiene completas
1. Verificación en dos pasos con PIN
Es la medida más importante y la que más usuarios tienen mal configurada. WhatsApp permite añadir un PIN de seis dígitos que se exige cuando el número se registra en un nuevo dispositivo, además del código por SMS. Sin este PIN, robar la cuenta solo requiere el código de SMS. Con él, el atacante necesita además adivinar o conseguir el PIN.
Se activa en Ajustes > Cuenta > Verificación en dos pasos. No usar fechas de cumpleaños, números de DNI ni secuencias obvias. El PIN debe ser memorable para ti pero no deducible por alguien que tenga acceso a tu información pública.
2. Correo de recuperación verificado
En el mismo apartado de verificación en dos pasos, WhatsApp permite añadir un correo electrónico para recuperar el PIN si lo olvidas. Sin este correo, si pierdes el PIN, la única opción es esperar siete días sin acceso a la cuenta. Asegúrate de que el correo está actualizado y tiene su propia verificación en dos pasos activada.
Un correo de recuperación que esté en una cuenta antigua a la que ya no tienes acceso es peor que no tener correo.
3. Clave secreta (Passkey)
WhatsApp empezó a soportar passkeys, la alternativa moderna a las contraseñas, durante 2024 y la opción está disponible para todos los usuarios en 2026. Activarla añade una capa adicional de protección al inicio de sesión que es resistente a phishing por construcción, ya que la passkey está vinculada criptográficamente al dominio oficial.
Se activa en Ajustes > Cuenta > Clave secreta o Passkey. Requiere autenticación biométrica del dispositivo (huella o cara) en cada uso, lo que hace prácticamente imposible que alguien con acceso temporal a tu móvil pueda iniciar sesión en otro dispositivo.
4. Bloqueo de la app con biometría
Activar el desbloqueo por huella o cara para abrir WhatsApp añade una protección crítica si pierdes el móvil o te lo roban con la pantalla desbloqueada. Sin esto, cualquier persona que coja tu teléfono puede leer tus chats y enviar mensajes haciéndose pasar por ti.
Se activa en Ajustes > Privacidad > Bloqueo de pantalla. La opción "Requerir Touch ID/Face ID" inmediatamente es la más segura.
Las medidas contra el robo de SIM
5. PIN de la tarjeta SIM activado
Algo que mucha gente olvidó tras configurar el móvil por primera vez. Sin PIN en la SIM, si te roban el teléfono y meten tu tarjeta en otro móvil, pueden recibir tus SMS, incluido el de verificación de WhatsApp. El PIN por defecto del operador (suele ser 0000 o 1234) debe cambiarse inmediatamente.
Se cambia en Ajustes del sistema operativo, no de WhatsApp. En Android: Ajustes > Seguridad > Bloqueo de SIM. En iPhone: Ajustes > Datos móviles > PIN de la SIM.
6. Solicitar el bloqueo de portabilidad al operador
Esta es la medida más importante contra el SIM swap y la que casi nadie conoce. Los operadores españoles permiten activar un bloqueo que requiere acción presencial o autenticación reforzada antes de transferir tu número a otra SIM. Cada operador lo llama de manera diferente: "bloqueo de portabilidad", "candado anti-fraude" o "protección de número".
Hay que llamar al servicio de atención al cliente (no se puede hacer desde la app habitualmente) y solicitar explícitamente que se active esa protección. Es la única defensa real contra el SIM swap y es gratuita.
7. Cambiar el método de recuperación de cuentas críticas a app de autenticación
WhatsApp en sí depende del SMS para la verificación inicial, pero tu correo de recuperación, tu cuenta de Google, tu Apple ID y otros servicios críticos no deberían depender del SMS si puedes evitarlo. Como ya analizamos cuando recomendamos pasarse de Google Authenticator a una app más robusta, las apps de autenticación generan códigos en el dispositivo sin depender del operador móvil, lo que las hace inmunes al SIM swap.
Las medidas contra el malware en el dispositivo
8. No instalar WhatsApp Plus, GBWhatsApp ni similares
Las versiones modificadas no oficiales de WhatsApp prometen funciones extra (modo oculto, descargar estados, personalización de la interfaz). El precio es entregar tus mensajes y credenciales a un desarrollador desconocido sin compromiso de seguridad ni cifrado verificable. Varias de estas apps modificadas han sido analizadas y se ha demostrado que envían datos a servidores de terceros.
WhatsApp además detecta su uso y bloquea las cuentas que las usan. El riesgo es total y la ganancia es nula. Las funciones extra que ofrecen, en el 90% de los casos, ya están disponibles en la app oficial.
9. No instalar APKs fuera de Google Play
Aplicarlo como regla general en Android, no solo para WhatsApp. La inmensa mayoría de los infostealers que afectan a usuarios particulares en Android llegan a través de APKs descargados de webs no oficiales. Google Play tiene un sistema de revisión imperfecto pero existente. Las webs de descarga de APKs no tienen ninguno.
Si alguien te pasa un APK por WhatsApp diciendo que es una versión modificada de cualquier app, es prácticamente seguro que es malware.
10. Revisar los dispositivos vinculados regularmente
WhatsApp permite usar la cuenta en varios dispositivos simultáneamente (WhatsApp Web, WhatsApp Desktop, otras tablets). Cada uno aparece como un dispositivo vinculado. Una buena práctica mensual es ir a Ajustes > Dispositivos vinculados y comprobar que todos los que aparecen son tuyos.
Si ves un dispositivo que no reconoces, ciérralo inmediatamente. Esa es la principal señal de que alguien tiene acceso a tu cuenta sin tu conocimiento. Después de cerrarlo, cambia el PIN de verificación en dos pasos por seguridad.
Las medidas de privacidad complementarias
11. Configurar quién puede añadirte a grupos
Por defecto, cualquier persona con tu número puede añadirte a un grupo. Esto es vector de spam, de estafas (grupos masivos donde se hacen pasar por servicios oficiales) y de extracción de tu número para bases de datos. La configuración correcta está en Ajustes > Privacidad > Grupos: "Mis contactos" como mínimo, "Mis contactos excepto..." si quieres más control.
12. Limitar quién ve tu foto de perfil, tu información y tu última conexión
Una foto de perfil pública es regalo para los estafadores que se hacen pasar por ti. Pueden descargarla y usarla en cuentas falsas para engañar a tus contactos. La configuración correcta es "Mis contactos" para foto, info y estado, y "Nadie" o "Mis contactos" para la última conexión.
13. Desactivar las descargas automáticas de archivos
Por defecto, WhatsApp descarga automáticamente fotos, vídeos y documentos que recibes. Esto consume datos, llena la galería de basura y, más importante, expone el dispositivo a archivos potencialmente maliciosos antes de que puedas decidir si quieres abrirlos.
Se desactiva en Ajustes > Almacenamiento y datos > Descarga automática. Lo más razonable es dejarlo activado solo para fotos cuando estés en Wi-Fi.
14. Activar las copias de seguridad cifradas de extremo a extremo
Las copias de seguridad de WhatsApp en Google Drive o iCloud son útiles pero tienen un punto débil: por defecto no están cifradas con tu clave personal, sino con la del proveedor de nube. Esto significa que en teoría Google o Apple podrían acceder a su contenido si una autoridad lo pidiera.
WhatsApp permite activar el cifrado de extremo a extremo en las copias en Ajustes > Chats > Copia de seguridad > Copia cifrada de extremo a extremo. Se elige una contraseña o una clave de 64 dígitos. Si pierdes esa contraseña, pierdes el acceso a la copia de seguridad para siempre. Por eso conviene anotarla en un gestor de contraseñas seguro.
15. Revisar las advertencias de cambio de número de seguridad
WhatsApp avisa cuando el número de seguridad de un contacto cambia, lo que puede indicar que esa persona ha reinstalado la app, ha cambiado de móvil o que su cuenta ha sido secuestrada. Por defecto, este aviso está desactivado.
Se activa en Ajustes > Privacidad > Mostrar notificaciones de seguridad. No es una medida que te proteja a ti directamente, pero te ayuda a detectar si la cuenta de un contacto cercano ha sido comprometida antes de que un atacante intente usarla para estafarte.
Qué hacer si ya te han robado la cuenta
A pesar de todas las precauciones, los robos ocurren. Si en algún momento dejas de tener acceso a WhatsApp y tienes razones para pensar que alguien tiene tu cuenta:
Cierra sesión en todos los dispositivos desde la web de WhatsApp si todavía tienes acceso.
Reinstala WhatsApp en tu móvil y verifica con tu número. Esto desconecta automáticamente cualquier otra sesión activa, incluida la del atacante.
Si pide un PIN de verificación en dos pasos que tú no has configurado, significa que el atacante lo ha activado para mantener el control. La única opción es esperar los siete días que WhatsApp obliga a esperar antes de poder restablecer la cuenta sin el PIN.
Avisa a tus contactos por otros canales (Telegram, llamada, redes sociales) de que tu cuenta está comprometida. La mayoría de las estafas con cuentas robadas funcionan porque los contactos confían en lo que llega del número conocido.
Reporta el incidente en https://www.whatsapp.com/contact/?subject=lost-stolen e incluye toda la información disponible.
La cuenta de WhatsApp suele contener años de conversaciones, archivos compartidos y, en muchos casos, información sensible que puede ser usada para chantaje o estafa. La inversión de quince minutos en activar las medidas de esta guía es seguramente la decisión de seguridad digital con mejor relación coste-beneficio que se puede tomar en 2026.
0 Comentarios