Qué NO hacer si te hackean
Clase 20 de 20 • Curso de Ciberseguridad Preventiva
Contenido del curso
Seguridad de Accesos
Protección de Correos y Redes Sociales
Seguridad de Dispositivos y Cuentas Personales
Nubes e Identidad en Tiempos de IA
Resumen
Recuperar una cuenta de WhatsApp comprometida no termina cuando vuelves a ver tus chats. El verdadero riesgo comienza después, cuando los ciberdelincuentes ya exploraron tus grupos, tus servicios vinculados y hasta la dirección de tu casa. Conocer el protocolo correcto de actuación tras un hackeo puede marcar la diferencia entre perder el control de toda tu vida digital o salir fortalecido.
¿Por qué no debes cancelar tu línea telefónica tras un hackeo?
Uno de los errores más graves es seguir el consejo de empleados de carriers que sugieren simplemente sacar otra línea [0:09]. Cancelar tu línea telefónica corta el acceso a servicios críticos que dependen de ella: cuentas bancarias, Gmail y cualquier plataforma que use un segundo factor de autenticación vía SMS o llamada.
Si cancelas la línea, el número puede reasignarse a otra persona que quizá no colabore contigo. Aunque obtengas un recibo de cancelación que te proteja legalmente, a nivel de recuperación de cuentas es contraproducente porque pierdes la vía para recibir códigos de verificación.
¿Qué pasa con el correo support de WhatsApp?
Circula un supuesto correo de soporte (support@whatsapp.com) que promete solucionar todo por arte de magia [1:18]. La realidad es que los propios ciberdelincuentes conocen este recurso y lo aprovechan: te llaman haciéndose pasar por WhatsApp o incluso por la policía cibernética para seguir extrayendo datos. No respondas a estas llamadas ni compartas información adicional, especialmente si se dirigen a personas mayores a quienes suelen pedir acceso a Gmail, considerado "oro puro" para los atacantes.
¿Por qué no bloquear llamadas de Estados Unidos?
WhatsApp utiliza sistemas automatizados que llaman desde números estadounidenses para enviar códigos de verificación [1:55]. Si bloqueas esos números, interrumpes tu propio proceso de recuperación.
¿Cómo funciona la ventana de recuperación de WhatsApp?
Para recuperar tu cuenta necesitas esperar entre once y veinticuatro horas [2:10]. Cuando el cronómetro termine, tendrás una sola oportunidad —un one shot— para retomar el control.
Esta operación requiere preparación metódica:
- Tener escritos los códigos de verificación de dos pasos antes de que llegue el momento.
- Contar con un correo electrónico seguro, como Proton, ya configurado.
- Tener la clave apuntada en papel para no improvisar.
Los cibercriminales lo saben y realizan intentos fallidos deliberados para extender el cronómetro [2:52]. Cada código equivocado que introducen suma tiempo de espera. Por eso necesitas temple y organización.
¿Qué daños ocurren mientras no tienes control de tu cuenta?
Durante esas once horas los atacantes no solo piden dinero a tus contactos. También buscan en tus grupos, agregan personas y envían mensajes que quedan almacenados en otro dispositivo y que tú nunca verás [3:20].
Además, intentan acceder a otras plataformas vinculadas mediante la opción de recuperación de contraseña:
- Instagram y Facebook.
- Mercado Libre y Rappi.
- PayPal y Yahoo.
Un caso frecuente: Rappi permite acceso vía WhatsApp sin contraseña [4:28], exponiendo tu dirección física. Pueden amenazarte diciendo que saben dónde vives.
¿Qué medidas tomar durante la crisis activa?
Cambiar contraseñas mientras el atacante aún controla tu WhatsApp es inútil. Cada vez que tú cambias una clave, ellos la recuperan con el código que llega al WhatsApp que manejan [5:08]. Entras en un ciclo interminable que además puede provocar que plataformas como Facebook bloqueen tus propios intentos de acceso.
La llave Yubico entra como factor diferenciador [5:40]. Al presentar un acceso físico, obtienes prioridad sobre los atacantes para realizar cambios. En vez de competir cambiando contraseñas, ganas control real.
Otra acción indispensable es desactivar el buzón de voz [6:12]. Un intento fallido de recuperación de WhatsApp por llamada puede dejar un mensaje con un código de seis dígitos en tu buzón. Si el atacante accede remotamente a esa grabación, te quita la cuenta de nuevo sin importar cuántos cronómetros hayas esperado. En dispositivos Apple, desactiva también el buzón en vivo [6:52].
Por último, no confíes solo en biométricos como huella o reconocimiento facial para tus servicios bancarios [7:08]. Existe una versión web accesible con usuario y contraseña, sin biométrico. Si alguna vez compartiste credenciales o identificaciones por WhatsApp, esos datos ya están comprometidos. La recomendación es vincular tus bancos a un correo cifrado como Protonmail, fuera del alcance de quienes controlan tu WhatsApp.
Si ya pasaste por una situación así o quieres prepararte, comparte tu experiencia y ayuda a que más personas conozcan estos protocolos de seguridad digital.