Una nueva campaña de phishing sofisticado está suplantando a WhatsApp mediante sitios web falsos que imitan su interfaz oficial. El objetivo: robar cuentas mediante ingeniería social, suplantación visual y obtención de códigos de verificación.
El hallazgo fue reportado públicamente por el analista de ciberseguridad Miguel Becerra, conocido públicamente como TIAL, quien detectó una serie de dominios maliciosos que resuelven a una misma IP alojada en Hong Kong.
Desde Publimetro México revisamos a profundidad estos sitios, confirmando que se trata de páginas fraudulentas diseñadas para engañar a usuarios.
El modus operandi: cómo funciona la estafa
Los sitios falsos usan nombres de dominio visualmente similares a WhatsApp, como:
- whatltapp[.]com
- whatntapp[.]com
- whatxapp[.]vip
Todos ellos apuntan a la dirección IP 34.150.109.152, alojada en Google Cloud Platform y ubicada en Hong Kong. Según registros de WHOIS, estos dominios fueron creados hace menos de una semana, y ya operan con contenido dinámico para recoger datos personales y códigos de verificación.
Paso a paso del engaño:
- La víctima entra a una página clonada de WhatsApp Web, con diseño idéntico al original.
- Se le pide su número telefónico para “iniciar verificación de seguridad”.
- Luego se le muestra un falso tutorial (en chino) que simula el proceso oficial para vincular dispositivos.
- El sistema, geolocalizado, detecta automáticamente si el usuario está en México u otro país y adapta el formulario.
- Una vez ingresado el número, el sistema solicita el código que llega por SMS, el cual es interceptado por los atacantes para secuestrar la cuenta.
¿Cómo funciona el código de cada una de estas páginas?
Desde Publimetro analizamos el código fuente de las páginas, detectando varios indicadores de actividad maliciosa:
- El contenido se carga dinámicamente vía JavaScript desde rutas como `/assets/index-dUsfUEPI.js`, lo que permite ocultar el fraude del escaneo automático.
- Se usan metadatos falsos (Open Graph) para simular que el sitio pertenece a `web.whatsapp.com`, engañando a quienes reciben el enlace por redes.
- Las imágenes, íconos y estilos están copiados directamente de WhatsApp real, pero alojados localmente para no levantar sospechas.
- El sitio está parcialmente traducido al español, pero mantiene contenido visual en chino, lo que confirma su probable origen.
Una campaña profesional y dirigida
La detección automática de ubicación (GeoIP) demuestra que los atacantes están segmentando sus víctimas por país. Esto sugiere una operación organizada, con capacidad técnica y recursos para engañar a usuarios a gran escala.
Además, herramientas como VirusTotal ya han marcado estos dominios como peligrosos: motores como Fortinet, Emsisoft, ESET, Sophos y Netcraft los han clasificado como phishing o maliciosos.
Recomendaciones para los usuarios de WhatsApp
- Nunca introduzcas tu número ni código en sitios que no sean el oficial de WhatsApp: https://web.whatsapp.com
- Verifica siempre la URL completa, especialmente en dispositivos móviles.
- Si ya ingresaste tus datos en una página falsa, contacta inmediatamente a tu operador y a WhatsApp para recuperar tu cuenta.
- Activa la verificación en dos pasos dentro de WhatsApp para agregar una capa adicional de seguridad.
