Enlaces peligrosos en WhatsApp Web: riesgos, fraudes y cómo protegerte

WhatsApp ਵੈੱਬ es ya una herramienta imprescindible para quienes trabajan o chatean desde el ordenador. Pero esa comodidad también ha abierto la puerta a nuevas formas de estafa y malware. Por desgracia, los ciberdelincuentes aprovechan tanto los enlaces peligrosos en WhatsApp Web como las versiones falsas de la propia web, así como extensiones de navegador y campañas de spam masivo que se aprovechan de la confianza entre contactos.

En las últimas investigaciones de diferentes firmas de ciberseguridad se han detectado páginas que imitan a WhatsApp Web, extensiones fraudulentas y malware diseñado específicamente para propagarse a través de la plataforma. A esto se suma que WhatsApp es una de las marcas más suplantadas del mundo, lo que dispara las probabilidades de que te llegue un enlace malicioso por esta vía. En este artículo repasamos cómo operan estas amenazas, cómo detectarlas y qué medidas puedes tomar para blindar tu cuenta y tu dispositivo.

Riesgos específicos de usar WhatsApp Web en el ordenador

WhatsApp no solo funciona en móviles: su versión web y de escritorio permite vincular la cuenta a un PC para escribir más cómodo, compartir archivos grandes o trabajar mientras chateas. El problema es que, al usar el navegador, se abre un nuevo frente de ataque en el que entran en juego páginas fraudulentas, extensiones maliciosas y scripts inyectados que no están presentes en la app móvil tradicional.

Uno de los peligros más habituales aparece cuando el usuario intenta entrar en el servicio y, en lugar de teclear directamente la dirección oficial, busca “WhatsApp Web” en Google o pincha en enlaces recibidos. Ahí es donde algunos atacantes colocan webs falsas que copian el diseño original, muestran un código QR manipulado y, al escanearlo, capturan la sesión para poder leer mensajes, acceder a archivos enviados y obtener la lista de contactos.

Otro vector de ataque clave son las extensiones de navegador que prometen “mejorar WhatsApp Web”, aumentar la productividad o automatizar tareas comerciales. Bajo el disfraz de herramientas de CRM o gestión de clientes, muchas acaban teniendo acceso completo a la página de WhatsApp Web, pudiendo leer conversaciones, enviar mensajes sin permiso o ejecutar código malicioso sin que el usuario se dé cuenta.

Además, WhatsApp Web sirve como puerta de entrada para malware que se distribuye mediante archivos comprimidos, scripts y enlaces enviados desde cuentas comprometidas. El atacante solo necesita que tengas una sesión abierta en el navegador para que el contenido malicioso se ejecute, se reenvíe a otros contactos y termine convirtiendo tu ordenador en un punto de propagación.

Todo esto no significa que no debas usar WhatsApp Web, sino que tienes que tomar ciertas precauciones adicionales respecto a la app del móvil: comprobar siempre la URL, controlar las extensiones instaladas y desconfiar de cualquier enlace o archivo que no esperabas recibir, por muy “normal” que parezca el mensaje.

Versiones falsas de WhatsApp Web y cómo detectarlas

Uno de los engaños más peligrosos es el de las páginas que imitan casi a la perfección la interfaz de WhatsApp Web oficial. El diseño, los colores y el código QR pueden parecer idénticos, pero en realidad estás cargando una copia manipulada que, al escanear el código con tu móvil, no abre tu sesión en el servidor de WhatsApp, sino que envía tus datos a los atacantes.

Cuando caes en una web clonada, los ciberdelincuentes pueden secuestrar tu sesión, leer en tiempo real los chats, descargar los documentos que has enviado o recibido e incluso exportar la agenda de contactos para lanzar nuevas campañas de phishing. Todo esto sin que, a simple vista, notes algo raro más allá de pequeños detalles en la dirección del sitio o en el certificado de seguridad.

Para ayudar a los usuarios a saber si están donde deben, WhatsApp y Meta recomiendan usar la extensión ਕੋਡ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ, disponible en las tiendas oficiales de Google Chrome, Mozilla Firefox y Microsoft Edge. Esta extensión analiza el código de la página de WhatsApp Web que tengas abierta y verifica que coincide exactamente con el original proporcionado por la propia WhatsApp, sin modificaciones ni inyecciones de terceros.

Si Code Verify detecta que estás en una versión manipulada, te mostrará de inmediato un aviso bien visible indicando que el sitio no es de confianza. En ese caso, lo prudente es cerrar la pestaña, no escanear ningún código QR y revisar si ya has llegado a introducir tus credenciales o vincular el dispositivo. Un punto clave es que la extensión no tiene acceso a tus mensajes ni a tu contenido: solo compara el código de la web con el que debería tener una versión legítima.

Además de recurrir a Code Verify, conviene acostumbrarse a entrar siempre escribiendo manualmente “https://web.whatsapp.com/” en la barra de direcciones y no a través de enlaces o anuncios. Revisa que veas el candado de sitio seguro, que el dominio sea exactamente el oficial y que el navegador no te muestre alertas sobre certificados dudosos antes de escanear el código QR.

Enlaces sospechosos en WhatsApp: cómo los marca la propia app

WhatsApp incorpora su propio sistema de detección básica de enlaces sospechosos dentro de los chats. Esta función examina automáticamente las URL que recibes y, si encuentra patrones típicos de phishing o caracteres raros en el dominio, puede mostrar un aviso en rojo para alertarte de que ese enlace podría ser peligroso.

Una forma muy clara de verlo en el ordenador es pasar el ratón por encima del enlace sin hacer clic. Cuando WhatsApp considera que la URL resulta sospechosa, muestra un indicador en rojo encima del enlace advirtiendo del posible riesgo. Es una verificación automática que se hace en segundo plano y que resulta muy útil para desvelar pequeñas trampas visuales que a simple vista se nos escaparían.

Entre las tretas más habituales está la sustitución de letras por caracteres muy parecidos, como una “ẉ” en lugar de una “w” o el uso de puntos y tildes poco evidentes dentro del dominio. Un ejemplo típico podría ser algo del estilo “https://ẉhatsapp.com/free-tickets”, donde un usuario despistado ve la palabra “whatsapp” y asume que es oficial, cuando en realidad el dominio es completamente distinto.

Meta también ha añadido un pequeño truco práctico: reenviarte el enlace sospechoso a tu propio chat personal (el chat contigo mismo) para que el sistema vuelva a analizarlo. Si el enlace se detecta como potencialmente fraudulento, WhatsApp lo indicará con un aviso en rojo, incluso aunque venga de un contacto de confianza o de un grupo donde suelas participar.

Esta función no es infalible, pero tiene varias ventajas: no necesitas instalar nada en el móvil, funciona dentro de la propia app y se apoya en los mecanismos internos de detección de enlaces peligrosos. Eso sí, sigue siendo imprescindible aplicar el sentido común: si algo huele raro, mejor no pinchar, aunque el sistema no haya lanzado ninguna alerta.

Extensiones de Chrome fraudulentas que atacan WhatsApp Web

Otro frente especialmente delicado son las extensiones de navegador diseñadas para integrarse con WhatsApp Web. Investigaciones recientes han destapado una campaña de spam masivo que utilizaba, nada menos, que 131 extensiones fraudulentas de Chrome para automatizar envíos de mensajes en WhatsApp Web, alcanzando a más de 20.000 usuarios en todo el mundo.

Estas extensiones se presentaban como herramientas de CRM, gestión de contactos o automatización de ventas para WhatsApp. Nombres comerciales como YouSeller, Botflow o ZapVende prometían incrementar los ingresos, mejorar la productividad y facilitar el marketing por WhatsApp, pero bajo el capó ocultaban un mismo código base desarrollado por una sola empresa brasileña, DBX Tecnologia, que ofrecía las extensiones en modelo de marca blanca.

El negocio funcionaba así: los afiliados pagaban alrededor de 2.000 euros por adelantado para poder renombrar la extensión con su propia marca, logo y descripción, y a cambio se les prometían ingresos recurrentes que podían ir de 5.000 a 15.000 euros al mes gracias a campañas masivas de mensajería. El objetivo de fondo era mantener en marcha envíos de spam a gran escala mientras se eludían los sistemas antispam de WhatsApp.

Para conseguirlo, las extensiones se ejecutaban junto a los scripts legítimos de WhatsApp Web y llamaban a funciones internas de la propia aplicación para automatizar el envío de mensajes, configurar intervalos, pausas y tamaño de los lotes de envío. De esta forma, simulaban un comportamiento más “humano” y reducían las probabilidades de que los algoritmos de detección de abuso bloquearan las cuentas utilizadas en estas campañas.

El peligro es doble: aunque muchas de estas extensiones no encajan en la definición clásica de malware, tenían acceso completo a la página de WhatsApp Web, lo que en la práctica les permitía leer conversaciones, modificar contenidos o lanzar mensajes automatizados sin que el usuario lo autorizara explícitamente. Si a eso añadimos que estuvieron disponibles en la Chrome Web Store durante al menos nueve meses, el potencial de exposición es enorme.

Google ya ha retirado las extensiones afectadas, pero si en algún momento instalaste herramientas de automatización, CRM u otras utilidades relacionadas con WhatsApp, es una buena idea entrar en “chrome://extensions” y revisar cuidadosamente la lista: elimina cualquier extensión que no reconozcas, que ya no uses o que pida permisos excesivos para leer y modificar datos en todas las webs. Y recuerda: que una extensión esté en la tienda oficial no garantiza que sea segura.

WhatsApp como una de las marcas más suplantadas del mundo

La popularidad de WhatsApp tiene una cara B: al contar con más de 2.000 millones de usuarios, la plataforma es un imán para los atacantes que quieren llegar rápidamente a millones de potenciales víctimas. Según el Brand Phishing Report de Check Point Research, WhatsApp figura entre las marcas más utilizadas por los ciberdelincuentes para crear páginas de phishing, correos falsos y campañas de suplantación.

En países como España, el impacto ya se nota claramente: se estima que en torno al 33% de todos los ciberataques registrados en el año han tenido algún vínculo con la mensajería o con marcas ampliamente reconocidas, entre ellas WhatsApp. La combinación de una base de usuarios enorme y la confianza que genera la marca hace que sea relativamente fácil montar estafas basadas en supuestos premios, sorteos, verificaciones de cuenta o actualizaciones urgentes.

Los mensajes fraudulentos pueden llegarte de muchas formas: desde un SMS que asegura ser de la “soporte oficial de WhatsApp” hasta un correo electrónico que imita el logotipo de Meta, pasando por enlaces en redes sociales, anuncios engañosos o códigos QR pegados en lugares públicos. En todos los casos, el objetivo es idéntico: que hagas clic en una URL forjada, introduzcas tus datos o descargues un archivo infectado.

Por eso, los expertos insisten en la necesidad de reforzar la configuración de seguridad de la aplicación y, sobre todo, en aprender a leer los mensajes con ojo crítico. Detalles como el dominio desde el que te escriben, el tono del texto, las faltas de ortografía o las prisas por que hagas algo “ahora mismo” suelen ser pistas claras de que estás ante un intento de phishing más que ante una comunicación oficial.

En el caso concreto de WhatsApp, es clave recordar que la empresa no te pedirá jamás tu código de verificación por mensaje ni por llamada, y que no necesitas hacer clic en enlaces externos para mantener la cuenta activa o “evitar que la cierren”. Si un mensaje menciona este tipo de amenazas, probabilidades muy altas de que sea una estafa en toda regla.

Errores de seguridad frecuentes en WhatsApp que te dejan vendido

Más allá de los enlaces peligrosos, muchos usuarios se exponen a ataques simplemente por tener una configuración de seguridad descuidada. La propia Check Point ha recopilado varios errores muy comunes que aumentan el riesgo de que un atacante secuestre tu cuenta o aproveche tu información personal.

• No activar la verificación en dos pasos. Esta función añade un segundo PIN de seguridad que se pide cuando alguien intenta registrar tu número en un nuevo dispositivo, de modo que, aunque el atacante consiga tu código SMS, no podrá completar el acceso si no conoce ese PIN. Se activa desde Ajustes > Cuenta > Verificación en dos pasos.
• Compartir la ubicación en tiempo real sin control. Aunque es una función muy útil para quedar con amigos o avisar de que has llegado bien, dejarla activa durante horas o con personas en las que no confías plenamente puede dar demasiada información sobre tus rutinas diarias. Lo recomendable es usarla solo cuando sea necesario y desactivarla en cuanto deje de hacer falta.
• Mantener la descarga automática de fotos, vídeos y documentos en cualquier tipo de red. Si aceptas todo lo que te llega sin filtrar, aumentas las posibilidades de que se cuele un archivo malicioso o un documento preparado para explotar vulnerabilidades. Desde Configuración > Almacenamiento y datos puedes limitar las descargas automáticas y elegir qué archivos se guardan manualmente.
• No revisar las opciones de privacidad del perfil y los estados. Permitir que cualquiera pueda ver tu foto, tu descripción o tus historias puede facilitar que alguien recopile datos sobre ti, se haga pasar por un conocido o utilice esa información para ataques dirigidos. Lo ideal es ajustar quién puede ver tu información desde Configuración > Privacidad, restringiendo el acceso a tus contactos o listas concretas.
• ਨਹੀਂ mantener la app de WhatsApp actualizada y de revisar de vez en cuando los permisos concedidos en el móvil (acceso a cámara, micrófono, contactos, etc.). Cada actualización suele incluir parches de seguridad que cierran fallos explotables, y los permisos innecesarios pueden ser la puerta de entrada en caso de que surja una vulnerabilidad o una app maliciosa quiera aprovecharse.

Cómo identificar enlaces maliciosos dentro y fuera de WhatsApp

Los enlaces maliciosos no se limitan a WhatsApp: pueden llegarte por correo electrónico, SMS, redes sociales, anuncios engañosos, comentarios en foros o incluso mediante códigos QR. El patrón, sin embargo, suele repetirse: un mensaje con prisa, una oferta demasiado buena para ser verdad o una supuesta urgencia que te empuja a hacer clic sin pensar.

Un enlace malicioso suele ser una URL creada con la intención de redirigirte a una web fraudulenta, descargar malware o robar tus credenciales. Muchas veces la apariencia imita a bancos, tiendas conocidas o servicios populares, pero al fijarte en la dirección exacta verás dominios raros, letras cambiadas o extensiones poco habituales como .xyz, .top u otras que no coinciden con las oficiales.

También hay que estar atento a las URLs acortadas (tipo bit.ly, TinyURL, etc.), ya que ocultan la dirección real a la que te van a enviar. Los atacantes las utilizan para disimular dominios sospechosos y para que el usuario no pueda reconocer fácilmente que se trata de un sitio malicioso. Lo mismo ocurre con muchos códigos QR: basta con escanear y, si no tienes una app que muestre la URL antes de abrirla, podrías aterrizar en una web comprometida sin darte cuenta.

Entre las señales típicas de que un enlace puede ser peligroso están las faltas de ortografía o gramática en el mensaje que lo acompaña, el uso de nombres genéricos como “cliente” o “usuario” en lugar de tu nombre real y las promociones irreales (“has ganado un iPhone solo por participar”). Aunque el cibercrimen se ha profesionalizado y cada vez se cuidan más estos detalles, todavía se escapan muchos errores que delatan la estafa.

Para reducir riesgos es recomendable aprovechar herramientas gratuitas como VirusTotal, Google Safe Browsing, PhishTank o URLVoid. Todas ellas permiten analizar una URL antes de abrirla, comprobando si ha sido reportada por malware, phishing o actividad sospechosa. En el caso de las URLs acortadas, servicios como Unshorten.It ayudan a ver cuál es el destino real sin necesidad de cargar la página final.

Aplicando estas pautas y combinándolas con las alertas internas de WhatsApp para enlaces sospechosos, disminuyes muchísimo la probabilidad de caer en un fraude, tanto dentro de tus chats como al navegar por otros canales digitales donde también abundan este tipo de trampas.

La seguridad en WhatsApp Web y en los enlaces que circulan por la app depende de una mezcla de tecnología, sentido común y buenas prácticas: usar extensiones como Code Verify para asegurarte de que estás en el sitio correcto, mantener a raya las apps y extensiones de terceros, desconfiar de enlaces y archivos que no encajan con el contexto, activar las opciones de seguridad que ofrece la propia plataforma y mantener tus dispositivos actualizados. Si incorporas estos hábitos a tu rutina digital, navegarás y chatearás con mucha más tranquilidad.