"Vota por mi hijo", el nuevo mensaje que recorre WhatsApp para secuestrar cuentas: así funciona la reciente estafa viral

Las estafas online cada vez son más frecuentes. A las que buscan suplantar entidades bancarias y empresas se suman las que suplantan a personas que conocemos, como la estafa del Hijo en apuros que bien conocemos en España.

Ahora, una nueva estafa que se propaga a través de WhatsApp está afectando a numerosos usuarios en varios países de Europa, aprovechando la confianza y los lazos emocionales para secuestrar cuentas y sustraer dinero.

Conocida como la estafa "Vota por mi hijo", esta campaña de phishing ha sido objeto de una investigación por parte de Bitdefender Labs, la división de inteligencia de amenazas de la empresa de ciberseguridad.

Cuidado con la nueva estafa que suplanta a Amazon: "pueden robarte la cuenta de WhatsApp y engañar a tus contactos"

Los hallazgos revelan una operación a gran escala, diseñada para engañar incluso a los usuarios más cautelosos, convirtiendo a amigos y familiares en vectores involuntarios del fraude.

La premisa de la estafa es sencilla pero extraordinariamente eficaz. Se basa en la ingeniería social, una técnica que manipula la psicología humana para inducir a las víctimas a realizar acciones que van en contra de sus propios intereses.

El daño que inflige va más allá de la mera pérdida financiera; compromete la seguridad de las cuentas, daña la reputación de las víctimas y erosiona la confianza en nuestras interacciones digitales cotidianas.

Anatomía de un engaño

El ataque comienza con un mensaje aparentemente inofensivo recibido a través de WhatsApp. Este mensaje no proviene de un número desconocido, lo que inmediatamente activaría las alarmas de la mayoría de usuarios.

Estafa Vota por mi hijo El Androide Libre

Por contra, viene de un contacto de confianza: un amigo, un colega de trabajo o un miembro de la familia.

Este es el primer y más crucial paso del engaño, ya que neutraliza la sospecha inicial. El contenido del mensaje apela directamente a la buena voluntad del receptor.

Un ejemplo típico del texto podría ser: "¡Hola! ¿Podrías por favor votar por Adeline en este concurso? Es la hija de una amiga muy cercana. El premio principal es una beca para estudiar en el extranjero. ¡Muchísimas gracias!".

El nombre y el contexto pueden variar, pero el núcleo de la petición es siempre el mismo: una solicitud de ayuda para un niño en una competición.

La Policía advierte sobre una peligrosa estafa en WhatsApp: "Tu cuenta se bloquea y lo siguiente es peor..."

Al hacer clic en el enlace proporcionado, la víctima es redirigida a un sitio web fraudulento. Estas páginas están diseñadas con un alto grado de sofisticación para parecer legítimas.

A menudo muestran fotografías de niños, generalmente niñas, en poses de baile o gimnasia, junto con botones de "Votar" y otros elementos visuales que simulan una plataforma de concurso real.

La apariencia profesional de la página web contribuye a disipar cualquier duda que la víctima pudiera tener.

Es en este punto donde la trampa se cierra. Para emitir el supuesto voto, la página solicita a la víctima que introduzca su número de teléfono. Inmediatamente después, el sistema pide un código de verificación de seis dígitos que la víctima recibe por SMS.

Interfaz de la web fraudulenta El Androide Libre

Aquí reside el quid de la estafa: los ciberdelincuentes han iniciado simultáneamente un proceso de registro de la cuenta de WhatsApp de la víctima en un nuevo dispositivo.

El código de seis dígitos que la víctima cree que es para validar su voto es, en realidad, el código de verificación de WhatsApp. Al introducirlo en la página web falsa, sin saberlo, se lo está entregando directamente a los estafadores.

En cuestión de segundos, los atacantes obtienen el control total de la cuenta de WhatsApp de la víctima, quien es inmediatamente desconectada de su propio perfil.

Propagación y extorsión económica

Una vez que la cuenta ha sido secuestrada, los ciberdelincuentes inician una estrategia de dos vertientes. La primera es la propagación.

Utilizan la cuenta recién comprometida para enviar el mismo mensaje del concurso de votación a toda la lista de contactos de la víctima. Este efecto dominó es lo que permite que la estafa se extienda de forma exponencial.

Cada nuevo amigo o familiar que recibe el mensaje lo ve como una petición legítima de alguien en quien confía, aumentando drásticamente la probabilidad de que ellos también caigan en la trampa.

Vuelve a WhatsApp la estafa del familiar lejano que te pide dinero, advierte la Policía

La segunda vertiente es la extorsión financiera directa. Después de haber utilizado la cuenta para difundir el phishing, los estafadores cambian de táctica.

Comienzan a enviar mensajes a los contactos de la víctima, especialmente a aquellos que parecen ser familiares cercanos o amigos íntimos, con una petición de dinero urgente.

Suplantando la identidad de la víctima, inventan una emergencia creíble: un accidente, una factura médica inesperada, la necesidad de pagar una multa de inmediato, etc.

Los importes solicitados suelen ser lo suficientemente bajos como para no levantar sospechas inmediatas y para que la gente esté dispuesta a ayudar sin hacer demasiadas preguntas.

Según el informe de Bitdefender, es común que soliciten una cantidad inicial, como 360 euros, y poco después, una suma adicional bajo otro pretexto, como 400 euros.

La combinación de un mensaje proveniente de un ser querido y un sentido de urgencia a menudo es suficiente para convencer a las víctimas de realizar la transferencia sin verificar la historia.

Como colofón, la actividad masiva de envío de spam desde la cuenta secuestrada a menudo hace que los sistemas de seguridad de WhatsApp la suspendan.

Esto puede añadir más frustración y problemas para el propietario legítimo, que no solo pierde el control de su cuenta y ve su confianza traicionada, sino que también queda aislado de su red de comunicación principal.

El perfil de las víctimas

La investigación de Bitdefender Labs ha destapado una infraestructura criminal considerable detrás de esta campaña. En los últimos dos meses, los atacantes han desplegado 177 dominios fraudulentos y 554 URL únicas, dirigidas a miles de usuarios.

Aunque la campaña tiene una fuerte presencia en Europa Central y del Este, su huella se está expandiendo rápidamente hacia Europa Occidental, con un impacto que ya se hace notar en países como España y el Reino Unido. 

Una mujer mayor usando el móvil El Androide Libre

Aunque cualquier persona puede ser víctima de este tipo de ataque de ingeniería social, los investigadores señalan que las personas mayores pueden estar en mayor riesgo debido a una menor familiaridad con las tácticas de phishing online.

Sin embargo, la naturaleza emocional y la apariencia de legitimidad del engaño hacen que incluso los individuos con conocimientos digitales puedan ser vulnerables.

Como suele pasar en estos casos, la estafa está diseñada para eludir el pensamiento racional y apelar directamente a la empatía y al instinto de ayudar.

Cómo protegerse de las estafas en WhatsApp

La prevención es la herramienta más poderosa contra este tipo de fraude. La concienciación y la adopción de buenas prácticas de seguridad pueden reducir drásticamente el riesgo de convertirse en una víctima.

• Nunca compartas tu código de verificación de WhatsApp: El código de seis dígitos que se recibe por SMS es la llave maestra de nuestra cuenta. Ninguna persona u organización legítima te lo pedirá jamás. Trátalo con el mismo nivel de confidencialidad que el PIN de tu tarjeta de crédito.
• Activa la verificación en dos pasos: Esta es una capa de seguridad adicional y fundamental. Se encuentra en Ajustes > Cuenta > Verificación en dos pasos. Te permite crear un PIN personal de seis dígitos que WhatsApp te pedirá periódicamente y cuando registres tu número de teléfono en un nuevo dispositivo. Incluso si los estafadores consiguen tu código de verificación por SMS, no podrán acceder a tu cuenta sin este PIN adicional que solo tú conoces.
• Desconfía y verifica: Si recibes un mensaje inesperado, incluso de un contacto conocido, que te pide hacer clic en un enlace, descargar una aplicación o, sobre todo, enviar dinero, tómate un momento para pensar. Verifica la autenticidad de la petición a través de un canal de comunicación diferente. Una simple llamada telefónica a la persona que supuestamente te ha escrito puede desbaratar el intento de estafa en segundos.
• Examina los mensajes con ojo crítico: Busca señales de alerta. Aunque estos estafadores suelen cuidar el lenguaje, a veces se pueden encontrar errores gramaticales o un tono que no encaja con la forma habitual de hablar de tu contacto. La urgencia es otra gran señal de alarma; los estafadores siempre intentan crear una sensación de crisis para que actúes sin pensar.

Qué hacer si ya has sido víctima

Si sospechas que tu cuenta ha sido comprometida, es vital actuar con rapidez para mitigar los daños.

• Alerta a tus contactos inmediatamente: Usa otro medio (llamadas, SMS, correo electrónico u otra red social) para informar a tus amigos y familiares de que tu WhatsApp ha sido hackeado. Adviérteles que ignoren cualquier mensaje que reciban desde tu número, especialmente si solicita dinero o pide hacer clic en enlaces.
• Intenta recuperar tu cuenta: Abre WhatsApp e intenta registrar tu número de teléfono de nuevo. La plataforma te enviará un nuevo código de verificación por SMS. Si lo introduces, se cerrará automáticamente la sesión del estafador en el otro dispositivo.
• Contacta con el soporte de WhatsApp: Si no puedes recuperar el acceso, envía un correo electrónico al soporte técnico de WhatsApp explicando la situación.

La estafa "Vota por mi hijo" es un recordatorio de la sofisticación de los ciberdelincuentes modernos. Al explotar la confianza y la empatía, convierten nuestras redes de apoyo en armas contra nosotros mismos.

La mejor defensa reside en una combinación de escepticismo, la adopción de medidas de seguridad como la verificación en dos pasos y, sobre todo, la comunicación.

Hablar sobre estas amenazas con nuestros círculos de amigos y familiares es fundamental para crear una conciencia colectiva que nos proteja a todos.