hacking / mayo 16, 2026 / 9 min de lectura / 👁 33 visitas

La anatomía de un engaño: ¿Por qué ese enlace parece real?

La anatomía de un engaño: ¿Por qué ese enlace parece real?

Vaya, que si fuera tan fácil como darle a un botón y esperar treinta segundos, el mundo se habría acabado ayer por la tarde. Seguramente te has topado con ese titular tan llamativo mientras navegabas buscando alguna solución rápida o, quizás, por pura curiosidad malsana. «Hackear WhatsApp gratis en 30 segundos». Suena a magia, ¿verdad? Pues lamento ser yo quien te rompa la ilusión mientras me tomo mi segundo café del día, pero la realidad es bastante más cruda, más técnica y, sobre todo, mucho más peligrosa para ti que para la supuesta «víctima».

La verdad es que este tipo de promesas son el pan de cada día en los rincones menos recomendables de internet. Y ojo, que no lo digo por decir. Si analizamos el enlace que circula por ahí (ese que menciona a una universidad brasileña y un visor de PDF), nos damos cuenta de que estamos ante un caso de manual de lo que en ciberseguridad llamamos «SEO Poisoning» o envenenamiento de buscadores. Pero no nos adelantemos, que aquí hay mucha tela que cortar y prefiero explicártelo como si estuviéramos dando un paseo por el puerto de Cartagena, viendo los barcos pasar con calma.

Si te fijas en la URL que suele acompañar a estos anuncios, verás que a menudo apunta a dominios que parecen legítimos, como revistas.unisinos.br. ¿Qué hace una universidad de Brasil ofreciendo herramientas para hackear WhatsApp? Absolutamente nada. Lo que ocurre es que los ciberdelincuentes aprovechan vulnerabilidades en plugins de visores de PDF o sistemas de gestión de contenidos (CMS) para «colar» sus páginas de aterrizaje. Es una técnica astuta: Google confía en el dominio de una universidad porque tiene autoridad, así que posiciona el enlace arriba del todo.

Al final del día, lo que buscas es una herramienta mágica y lo que encuentras es un «redirect». Te llevan de una web legítima a una oscura, llena de scripts que intentan hacer de las suyas en tu navegador. La secuencia suele ser siempre la misma:

  • Te piden el número de teléfono de la persona a la que quieres «espiar».
  • Aparece una barrita de progreso muy vistosa (la famosa de los 30 segundos).
  • Te muestran líneas de código falsas pasando a toda velocidad para que parezca que algo «técnico» está ocurriendo.
  • Y aquí viene el truco: para «descargar los datos», te piden que completes una encuesta, que descargues una app o, lo que es peor, que introduzcas tu propio número para «verificar que eres humano».

Vaya, que el cazador termina siendo el cazado. En el momento en que metes tus datos o descargas ese archivo «necesario», lo que estás haciendo es abrirle la puerta de tu casa al lobo. En España, el INCIBE (Instituto Nacional de Ciberseguridad) se cansa de avisar sobre estas estafas de suscripción SMS premium o malware diseñado para robar tus propias credenciales bancarias.

¿Es posible hackear WhatsApp técnicamente?

Para que nos entendamos: WhatsApp no es una caja de zapatos con un candado de los chinos. Utiliza un protocolo de cifrado de extremo a extremo basado en el protocolo Signal. Esto significa que ni siquiera la propia Meta (la empresa de Zuckerberg) puede leer tus mensajes. Cuando envías un «¿Te vienes a por un asiático al centro?», ese mensaje se cifra en tu móvil con una clave pública y solo se descifra en el móvil de tu amigo con su clave privada.

Intentar romper ese cifrado por fuerza bruta hoy en día es, sencillamente, ciencia ficción. Necesitarías una capacidad de cómputo que no existe fuera de los laboratorios de la NSA o de alguna supercomputadora cuántica que todavía está en pañales. Por eso, cuando alguien te dice que lo hace en 30 segundos y gratis, es como si te dijeran que han inventado un submarino que vuela… y no, no me refiero a las genialidades de nuestro Isaac Peral, que ese sí que sabía de ingeniería de verdad.

El protocolo Signal y las claves de intercambio

Si mal no recuerdo, el cifrado de WhatsApp utiliza una combinación de algoritmos: Curve25519, AES-256 y HMAC-SHA256. Para los que no habláis «binario», esto significa que cada mensaje tiene su propia llave y que esa llave cambia constantemente. Es lo que llaman «Perfect Forward Secrecy».

Aquí te dejo un pequeño ejemplo en Python de cómo se vería, de forma muy simplificada y didáctica, un proceso de cifrado simétrico básico. Ojo, esto no es WhatsApp, es solo para que veas que la criptografía no es cosa de magia, sino de matemáticas puras:


from cryptography.fernet import Fernet

# Generamos una clave (esto en WhatsApp ocurre de forma automática y secreta)
clave = Fernet.generate_key()
cipher_suite = Fernet(clave)

# El mensaje que queremos proteger
mensaje = "Nos vemos en las fiestas de Carthagineses y Romanos".encode()

# Ciframos el mensaje
mensaje_cifrado = cipher_suite.encrypt(mensaje)
print(f"Mensaje ilegible para el hacker: {mensaje_cifrado}")

# Solo quien tenga la 'clave' puede hacer esto:
mensaje_descifrado = cipher_suite.decrypt(mensaje_cifrado)
print(f"Mensaje recuperado: {mensaje_descifrado.decode()}")

# Intenta descifrarlo sin la clave... spoiler: vas a tardar unos cuantos siglos.

Como ves en este código (comentado con un poco de ironía, porque la seguridad es seria pero no tiene por qué ser aburrida), sin la clave no hay nada que hacer. Y esa clave nunca sale de tu dispositivo. Por tanto, el «hackeo» de WhatsApp no suele ser un ataque al software, sino un ataque al eslabón más débil: nosotros, los humanos.

Ingeniería social: El verdadero peligro en España

La mayoría de los «hackeos» que vemos en las noticias de aquí, de España, no son proezas informáticas. Son engaños. Es lo que llamamos ingeniería social. Seguro que has oído hablar del timo del «hijo en apuros». Un padre recibe un mensaje de un número desconocido: «Hola papá, se me ha roto el móvil y este es mi número nuevo, ¿me puedes hacer un Bizum de 500 euros para una emergencia?».

La verdad es que es un método rastrero, pero funciona porque juega con las emociones. No hackean el código, hackean tu corazón y tus nervios. Otro método común es el robo de la cuenta mediante el código de verificación. Te llaman diciendo que son del soporte técnico de WhatsApp y que te va a llegar un SMS con un código que debes decirles. En cuanto se lo das, ellos activan tu cuenta en su dispositivo y tú te quedas fuera. Así de simple. Sin 30 segundos, sin programas mágicos, solo con una mentira bien contada.

La Inteligencia Artificial: ¿Aliada o enemiga?

Aquí es donde la cosa se pone interesante y un poco turbia. Con el auge de la IA, los estafadores están subiendo de nivel. Ya no son solo mensajes de texto con faltas de ortografía (que antes eran fáciles de detectar). Ahora pueden usar modelos de lenguaje para escribir correos de phishing perfectos, adaptados al lenguaje local de Cartagena o de cualquier rincón de España, sin que suene a traducción barata de Google.

Incluso estamos empezando a ver casos de «Deepfakes» de voz. Imagina que te llama tu hermano pidiéndote un favor y su voz suena exactamente igual que la suya. Da miedo, ¿verdad? La IA puede analizar un audio de 30 segundos de una red social y clonar la voz con una precisión asombrosa. Por eso, la mejor defensa no es un antivirus de pago, sino el sentido común y un poco de malicia sana.

¿Cómo nos ayuda la IA a protegernos?

No todo es malo. Las empresas de ciberseguridad en España están usando IA para detectar patrones de ataque antes de que ocurran. Por ejemplo, los filtros de spam de Gmail o de las operadoras como Telefónica analizan millones de mensajes en tiempo real para bloquear esos enlaces fraudulentos de «hackear WhatsApp» antes de que lleguen a tu bandeja de entrada. Es una guerra de algoritmos contra algoritmos.

Lecciones de historia: De Isaac Peral a la criptografía moderna

A veces me gusta pensar qué diría Isaac Peral si viera cómo nos preocupamos hoy por la privacidad de nuestros mensajes. Él, que tuvo que luchar contra el espionaje y la burocracia para sacar adelante su submarino en Cartagena, entendía perfectamente el valor de la información estratégica. En su época, los secretos se guardaban en cajas fuertes y se enviaban por telegramas cifrados con códigos manuales.

Hoy, llevamos en el bolsillo una capacidad de cifrado que supera a cualquier máquina Enigma de la Segunda Guerra Mundial. Es irónico que, teniendo la tecnología más segura de la historia, sigamos cayendo en trucos tan viejos como el de la estampita, solo que ahora en formato digital y con nombres como «pj97w5». La historia nos enseña que la tecnología cambia, pero la curiosidad (y a veces la codicia) humana sigue siendo la misma.

Cómo proteger tu WhatsApp de verdad (y no en 30 segundos)

Si has llegado hasta aquí, ya sabes que esos enlaces son una estafa. Pero, ¿qué puedes hacer para que nadie, absolutamente nadie, entre en tu cuenta? Aquí te dejo unos consejos prácticos, de esos que daría a mi madre mientras nos tomamos unos michirones:

  • Activa la verificación en dos pasos: Es fundamental. Vas a Ajustes > Cuenta > Verificación en dos pasos. Te pedirá un PIN de seis dígitos. Sin ese PIN, aunque alguien te robe el código del SMS, no podrá entrar. Es como poner un cerrojo de seguridad extra a la puerta de casa.
  • Ojo con WhatsApp Web: A veces nos dejamos la sesión abierta en el ordenador del trabajo o en un sitio público. Revisa de vez en cuando en tu móvil qué dispositivos tienen sesiones activas y cierra las que no reconozcas.
  • Desconfía de las urgencias: Si alguien te pide dinero por WhatsApp, llámalo por teléfono. Una llamada de voz de toda la vida deshace el 99% de las estafas de ingeniería social.
  • No pinches en enlaces raros: Si el enlace tiene una estructura extraña, como esa de la universidad brasileña mezclada con códigos alfanuméricos, bórralo directamente. No te pierdes nada bueno, te lo aseguro.

El impacto en el mercado español

En España, el uso de WhatsApp es masivo, mucho más que en otros países donde iMessage o Telegram tienen más cuota. Esto nos convierte en el blanco perfecto. Empresas españolas de ciberseguridad están trabajando codo con codo con las fuerzas de seguridad para desmantelar redes que se dedican a captar datos a través de estos falsos hackeos. La verdad es que es una lucha constante, como intentar achicar agua de una barca con un cubo agujereado, pero se están logrando avances.

Vaya, que la conclusión que saco de todo esto es que la seguridad absoluta no existe, pero la inseguridad por imprudencia sí. No busques atajos para invadir la privacidad de otros, porque lo más probable es que acabes exponiendo la tuya propia. Y si alguna vez sientes la tentación de hacer clic en uno de esos anuncios de «Hackear WhatsApp gratis», recuerda este artículo, tómate un respiro y piensa que nadie da duros a cuatro pesetas, y menos en el mundo de la ciberseguridad.

Para que nos entendamos, la tecnología es una herramienta maravillosa, pero como cualquier herramienta, hay que saber por dónde se agarra para no cortarse. Mantén tus apps actualizadas, usa el sentido común y, sobre todo, no te creas todo lo que brilla en Google. Al final del día, tu privacidad vale mucho más que cualquier curiosidad pasajera.

Productos recomendados en Amazon

Esterilla Yoga Antideslizante TPE

Esterilla Yoga Antideslizante TPE

€16,30
Esterilla Yoga Good Nite

Esterilla Yoga Good Nite

€16,56
AmazonBasics Cuerda Saltar

AmazonBasics Cuerda Saltar

€9,99
Tags:

¿Te ha gustado este artículo?

unpokitodxfavor

Propietario de aquinohayquienviva.es, web de noticias relacionadas con la ciencia, tecnología, y cultura en general.

Artículos relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Resuelve la operación para enviar el comentario * Time limit is exhausted. Please reload the CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.