Tendencias

¡Ojo Aquí! Crean nuevos sitios para robar cuentas de WhatsApp: Así es el modus operandi

Archivado en:

• Ke Buena

Una nueva campaña de phishing sofisticado esta suplantando la aplicación de WhatsApp a través de sitios web falsos que imitan su interfaz oficial, con el objetivo de robar las cuentas mediante ingeniería social, suplantación visual y obtención de códigos de verificación.

Este descubrimiento fue reportado públicamente por el analista de ciberseguridad Miguel Becerra, conocido públicamente como TIAL, quien detectó una serie de dominios maliciosos que resuelven a una misma IP alojada en Hong Kong.

Leer más: ¿Muere otro hermano del influencer Markitos Toys tras ataque armado en Jalisco?

El modus operandi: cómo funciona la estafa

Los sitios falsos usan nombres de dominio visualmente similares a WhatsApp, como:

• whatltapp[.]com
• whatntapp[.]com
• whatxapp[.]vip

Todos ellos apuntan a la dirección IP 34.150.109.152, alojada en Google Cloud Platform y ubicada en Hong Kong. Según registros de WHOIS, estos dominios fueron creados hace menos de una semana, y ya operan con contenido dinámico para recoger datos personales y códigos de verificación.

Ver más

Alerta de Ciberseguridad – Suplantación de WhatsApp

Se han detectado dominios maliciosos activos que intentan suplantar la identidad de WhatsApp, posiblemente con fines de phishing, robo de credenciales o distribución de malware.

️ Dominios identificados (resolviendo a… pic.twitter.com/vXsPCAw6lk

— TIAL (@mbec03) April 13, 2025

Paso a paso del engaño

1. La víctima entra a una página clonada de WhatsApp Web, con diseño idéntico al original.
2. Se le pide su número telefónico para “iniciar verificación de seguridad”.
3. Luego se le muestra un falso tutorial (en chino) que simula el proceso oficial para vincular dispositivos.
4. El sistema, geolocalizado, detecta automáticamente si el usuario está en México u otro país y adapta el formulario.
5. Una vez ingresado el número, el sistema solicita el código que llega por SMS, el cual es interceptado por los atacantes para secuestrar la cuenta.

¿Cómo funciona el código de cada una de estas páginas?

• El contenido se carga dinámicamente vía JavaScript desde rutas como `/assets/index-dUsfUEPI.js`, lo que permite ocultar el fraude del escaneo automático.
• Se usan metadatos falsos (Open Graph) para simular que el sitio pertenece a `web.whatsapp.com`, engañando a quienes reciben el enlace por redes.
• Las imágenes, íconos y estilos están copiados directamente de WhatsApp real, pero alojados localmente para no levantar sospechas.
• El sitio está parcialmente traducido al español, pero mantiene contenido visual en chino, lo que confirma su probable origen.

Recomendaciones para los usuarios de WhatsApp

• Nunca introduzcas tu número ni código en sitios que no sean el oficial de WhatsApp: https://web.whatsapp.com
• Verifica siempre la URL completa, especialmente en dispositivos móviles.
• Si ya ingresaste tus datos en una página falsa, contacta inmediatamente a tu operador y a WhatsApp para recuperar tu cuenta.
• Activa la verificación en dos pasos dentro de WhatsApp para agregar una capa adicional de seguridad.

Síguenos en redes sociales
Facebook: Ke Buena México
Instagram: @kebuena
X: @kebuenaoficial