🔍 Resumen del incidente
El Instituto Nacional de Ciberseguridad (INCIBE) ha emitido una alerta por una nueva modalidad de estafa en WhatsApp en la que ciberdelincuentes se hacen con el control de una cuenta mediante una videollamada engañosa. A través de la ingeniería social, convencen al usuario para compartir pantalla, momento en el que interceptan el código de verificación de WhatsApp recibido por SMS y acceden a la cuenta.
Una vez tomada la cuenta, suplantan la identidad del usuario y contactan con sus conocidos solicitando pagos por Bizum o reenvío de códigos, generando una cadena de nuevos ataques.
🏢 Impacto potencial en empresas españolas
Aunque esta estafa tiene un enfoque aparentemente personal, su impacto sobre empresas, especialmente pymes y sectores críticos como salud, legal, consultoría o logística, puede ser grave y escalable:
-
Compromiso de cuentas corporativas utilizadas en WhatsApp Business.
-
Suplantación de identidad de directivos o empleados para realizar fraudes (ej. estafa del CEO o engaños a clientes).
-
Pérdida de reputación y confianza de terceros si desde una cuenta comprometida se solicitan pagos o datos confidenciales.
-
Interrupción de comunicaciones comerciales al perder acceso a una cuenta clave.
-
Vulneración de protección de datos personales (LOPDGDD/GDPR) al acceder terceros a conversaciones, archivos o datos de clientes.
🧩 Vulnerabilidades asociadas
-
Uso de cuentas personales o mal protegidas para comunicaciones profesionales.
-
Falta de autenticación reforzada (verificación en dos pasos).
-
Escasa formación en ingeniería social y suplantación digital.
-
Uso de dispositivos no controlados (personales, sin MDM o antivirus).
-
Carencia de protocolos de respuesta ante incidentes de mensajería.
✅ Recomendaciones de ciberseguridad para empresas
A continuación, ofrecemos un conjunto de medidas prácticas para prevenir incidentes similares en el entorno empresarial:
🔐 Protección técnica
-
Activar la verificación en dos pasos en todas las cuentas de WhatsApp/Business.
-
Establecer controles de seguridad móviles (MDM) para dispositivos corporativos.
-
Usar soluciones EDR o antivirus en smartphones profesionales.
-
Restringir el uso de cuentas personales para tareas laborales, y promover canales verificados (como plataformas de mensajería corporativa).
🧠 Formación y concienciación
-
Capacitar a empleados en riesgos de ingeniería social: uso fraudulento de videollamadas, códigos por SMS, pantallas compartidas.
-
Desarrollar campañas internas de concienciación, con ejemplos reales y simulaciones de estafa.
-
Formar a directivos y personal de atención al cliente en la detección de señales de suplantación o comportamiento sospechoso.
🧰 Procedimientos y respuesta
-
Establecer un protocolo de respuesta rápida ante el compromiso de cuentas: recuperar acceso, informar a contactos, documentar evidencia, denunciar.
-
Revisar y reforzar políticas de uso de apps de mensajería en la empresa.
-
Evaluar la necesidad de integrar una asesoría externa en ciberseguridad para definir controles más robustos en comunicaciones digitales.
🛡️ Conclusión
Este tipo de amenazas no se limitan al ámbito personal. En un entorno laboral cada vez más descentralizado y móvil, cualquier punto de acceso mal protegido representa un riesgo directo para la seguridad de la empresa. Desde Ciberseguridad Ibérica recomendamos a todas las organizaciones, especialmente pymes, revisar urgentemente sus políticas de mensajería y formación en ciberhigiene.
Para más información o para solicitar una evaluación de riesgos sin compromiso, nuestro equipo está a su disposición.
