Autor: caeddeka

Publicado el

Página de Facebook hackeada: cómo recuperarla, frenar anuncios y volver a ser administrador

Página de Facebook hackeada

Si tu página de Facebook fue hackeada, el problema casi nunca es “solo una publicación rara”. Normalmente hay algo más delicado detrás: te quitaron el rol de administrador, cambiaron el nombre o la foto, conectaron una cuenta publicitaria para gastar dinero, o dejaron accesos escondidos para volver a entrar.

Lo que vas a lograr con esta guía:

  • Confirmar en minutos qué tipo de hack es (Página, Perfil o Business Manager).
  • Identificar señales reales de intrusión (no suposiciones).
  • Dejar lista la ruta correcta para recuperar el control y cortar el daño.

Antes de empezar: confirma qué fue hackeado (Página vs cuenta personal vs Business Manager)

Este paso es clave porque mucha gente pierde horas siguiendo un tutorial incorrecto. En Facebook, la Página depende de una “cadena” de acceso:

  • Cuenta personal (tu perfil) → controla roles de la Página
  • Página de Facebook (la marca/negocio) → tiene administradores y permisos
  • Meta Business Suite / Business Manager (si existe) → puede tener activos: Página, cuentas publicitarias, píxeles, socios, etc.

Traducción: tu Página puede estar comprometida aunque tú puedas entrar a tu perfil, o tu perfil puede estar comprometido y por eso perdieron la Página. Vamos a diagnosticarlo rápido.

Señales reales de que tu página de Facebook está hackeada

1) Te quitaron el rol de administrador (o ya no aparece tu nombre)

Esta es la señal más fuerte. Puede pasar así:

  • Ya no puedes publicar ni entrar a configuraciones.
  • Solo te figura “Editor” o “Moderador”, o ni siquiera apareces.
  • Te bloquearon el acceso a Business Suite.

Qué significa: alguien con control (o que consiguió control) cambió los permisos para sacarte.

2) Cambiaron el nombre, foto, URL, categoría o información del negocio

Los atacantes cambian la identidad para:

  • usar tu reputación y estafar
  • redirigir tráfico a links raros
  • hacer que tus seguidores crean que “es oficial”

Si ves cambios que tú no hiciste, asume intrusión hasta probar lo contrario.

3) Se publican enlaces, ofertas o mensajes que tú no escribiste

Esto suele ser “operación rápida”: publican cosas urgentes para que la gente haga clic antes de que lo reportes. A veces también responden mensajes por inbox intentando estafar.

4) Hay anuncios activos o gasto publicitario extraño

Este es el escenario más peligroso económicamente: conectan una cuenta publicitaria, crean campañas o cambian métodos de pago. Incluso si tu Página “se ve normal”, si hay Ads corriendo sin tu permiso, actúa como emergencia.

5) Te llegaron correos o mensajes de “Meta/Facebook Support” con un enlace

Esto es la vía de entrada más común: phishing. Te mandan un link de “verificación” o “copyright”, te hacen iniciar sesión en una página falsa y con eso se quedan con tu cuenta y luego con la Página.

Si te suena familiar, te conviene ver también:

Diagnóstico rápido en 60 segundos (elige tu escenario)

  • A) Puedo entrar a mi Facebook personal, pero mi Página ya no me deja administrar → probable cambio de roles / takeover de Página.
  • B) No puedo entrar a mi Facebook personal (correo cambiado, 2FA raro, sesiones) → primero hay que recuperar la cuenta personal.
  • C) Puedo entrar, pero hay Ads/gasto raro o activos en Business Suite → posible compromiso de Business Manager o cuenta publicitaria.

Si estás en el escenario B (tu cuenta personal está comprometida), empieza por aquí:

Qué NO hacer (porque empeora la recuperación)

  • No pagues “rescate” ni confíes en “hackers que recuperan páginas”. Es la segunda estafa.
  • No compartas códigos, capturas de verificación o enlaces de “soporte” por chat.
  • No entres a links de correos sospechosos; ve directo al centro de ayuda oficial.
  • No borres todo por impulso: primero asegura acceso y guarda evidencia básica (qué cambió y cuándo).

Recursos oficiales para validar seguridad (referencia)

Plan de emergencia (primera hora): frena el daño y prepara la recuperación

Si tu página de Facebook está hackeada, lo más importante es actuar en dos frentes: 1) cortar el daño (publicaciones, mensajes, anuncios) y 2) recuperar control (roles/admin, Business Suite/Manager). Aquí tienes un plan práctico, sin vueltas.

Regla: si hay dinero en juego (anuncios), eso va primero.

1) Si hay anuncios activos o gasto raro: prioriza detenerlo YA

Este es el escenario donde una Página hackeada se vuelve una pérdida económica. El atacante puede estar usando tu reputación para correr anuncios o sacar dinero de un método de pago asociado.

  • Entra a Meta Business Suite / Business Manager (si lo usas) y revisa si hay campañas activas o cuentas publicitarias que no reconoces.
  • Si aún tienes acceso: pausa campañas, elimina métodos de pago desconocidos y revoca accesos sospechosos.
  • Si no tienes acceso: sigue los pasos de “recuperación oficial” más abajo (porque la clave es demostrar propiedad y frenar el abuso).

Señales de que están corriendo Ads:

  • notificaciones de “aprobación de anuncios” o “anuncio publicado” que tú no hiciste
  • correos de facturación / recibos
  • mensajes de seguidores diciendo que “vieron un anuncio raro”

2) Asegura tu cuenta personal (porque es la llave de la Página)

Aunque el problema “parezca la Página”, casi siempre entraron por la cuenta personal o por un acceso que te robaron con phishing. Si no aseguras esto, puedes recuperar la Página… y perderla otra vez.

  • Cambia tu contraseña de Facebook (y del correo principal si sospechas que también fue tocado).
  • Activa verificación en dos pasos (2FA) si no la tenías.
  • Revisa sesiones activas y cierra las que no reconozcas.

Si tu cuenta personal también está comprometida, este es tu camino:

3) Si todavía puedes entrar a la Página: corta accesos, apps y cambios

Si aún tienes algún nivel de acceso, aprovecha porque es el camino más rápido.

3.1 Revisa roles de la Página y elimina lo desconocido

  • Entra a la configuración de la Página donde aparecen las personas con acceso y los roles.
  • Elimina usuarios/roles que no reconozcas.
  • Si ves que solo quedas como “Editor” y hay un “Admin” raro: eso ya es takeover.

3.2 Quita integraciones sospechosas (apps conectadas / automatizaciones)

Un truco común es no quedarse como “admin humano”, sino dejar una app conectada o integración para volver a entrar o publicar.

  • Revisa aplicaciones conectadas y elimina las que no uses.
  • Revisa si hay herramientas de publicación/CRM que se conectaron recientemente sin tu permiso.

3.3 Revisa cambios recientes y prepara evidencia básica

Esto ayuda si terminas en soporte oficial. No necesitas capturas complejas: basta con tener claro:

  • fecha aproximada del incidente
  • qué cambió (nombre, foto, roles, anuncios)
  • si hubo correos de phishing o links sospechosos

4) Si ya no tienes acceso (te sacaron como administrador): ruta de recuperación oficial

Cuando te quitan como admin, la vía realista es recuperar por soporte oficial. No suele ser instantáneo, pero si haces esto bien, aumentas tus posibilidades:

4.1 Reúne lo mínimo que te van a pedir (sin complicarte)

  • URL exacta de la Página (si la recuerdas) o el nombre tal cual aparece ahora.
  • Prueba de que eres dueño/representante (por ejemplo: correo corporativo, dominio, documentos del negocio, o evidencia de administración previa).
  • Lista de cambios no autorizados (roles, nombre, anuncios, publicaciones).
  • Correos/notificaciones del momento del incidente (si los tienes).

4.2 Reporta desde los canales oficiales

Dependiendo de tu caso, la ayuda suele pasar por el centro de ayuda y las rutas de “cuenta/página comprometida” o “actividad publicitaria no autorizada”.

Tip que ahorra frustración: cuando hagas el reporte, sé extremadamente concreto: “me removieron como administrador”, “agregaron admins desconocidos”, “están corriendo anuncios”. Mientras más preciso, más fácil que lo enruten bien.

5) Mensaje de contención (para tus seguidores / clientes)

Si el hacker está publicando cosas o respondiendo mensajes, es mejor avisar rápido con una frase simple desde tus otros canales (Instagram, web, WhatsApp, email) para cortar estafas:

  • “Nuestra página está presentando actividad no autorizada. No hagan clic en enlaces ni envíen datos. Estamos trabajando para recuperarla.”

Esto no solo protege a tu audiencia: también reduce reportes negativos contra tu marca.

Restauración y prevención: deja tu Página “a prueba de hackeos” (y reduce el riesgo a futuro)

Cuando recuperas el control de una página de Facebook hackeada, es muy fácil cometer un error típico: “ya volvió, listo”. El problema es que muchos atacantes dejan puertas secundarias (roles escondidos, apps conectadas, socios en Business Manager) para volver a entrar días después, cuando ya bajaste la guardia.

Esta sección está hecha para que la apliques una sola vez y te quedes con un sistema simple: mínimos accesos, máxima seguridad.

1) Limpieza post-recuperación: asegúrate de que no quedó nadie adentro

1.1 Revisa y reordena roles (haz “inventario” de administradores)

Tu objetivo: que solo queden personas reales y necesarias. Una configuración sana para la mayoría de negocios es:

  • 2 administradores (personas de confianza, no el mismo teléfono/correo si se puede)
  • el resto con permisos mínimos (editor, anunciante, analista, etc.)

Acción: elimina cualquier acceso que no reconozcas, incluso si “parece antiguo”. Si no sabes quién es, es riesgo.

1.2 Revisa accesos en Meta Business Suite / Business Manager (si aplica)

Muchos “hackeos de página” en realidad fueron un takeover del entorno de negocio, donde hay:

  • socios (partners) agregados
  • personas con roles extraños
  • activos publicitarios vinculados

Acción: elimina socios/partners que no reconozcas y confirma que la Página está dentro del BM correcto (si tu negocio usa uno).

1.3 Quita apps conectadas que no uses (puerta secundaria común)

Si el atacante conectó una app o herramienta de publicación, puede quedar como “acceso persistente”.

  • Elimina apps desconocidas o que no uses.
  • Si usas herramientas (CRM, programadores, chatbots), deja solo las imprescindibles.

2) Recupera la identidad: nombre, foto, info y confianza

Después de un hack, tu prioridad no es solo “verse bonito”: es restaurar confianza y evitar que el algoritmo te castigue por actividad sospechosa.

2.1 Revierte cambios críticos

  • Nombre de la Página
  • foto de perfil / portada
  • categoría, descripción, teléfono, sitio web

2.2 Elimina publicaciones maliciosas (sin borrar tu historial valioso)

Borra lo que sea claramente estafa (links raros, ofertas falsas). Pero evita borrar masivamente tu contenido histórico solo por pánico: primero corta accesos, luego limpias lo necesario.

2.3 Publica un mensaje corto de “aclaración” (si el ataque fue visible)

Si hubo posts o mensajes raros, una aclaración breve evita que la gente piense que tu marca es la estafa:

  • “La página tuvo actividad no autorizada. Ya recuperamos el control. No hagan clic en enlaces publicados recientemente si no los reconocen. Gracias por reportarlo.”

3) Seguridad definitiva: el combo que más protege tu Página

3.1 Activa 2FA en TODAS las cuentas que administran

Este punto solo es efectivo si se cumple para todos los admins, no solo para ti. El atacante entra por el eslabón más débil.

  • Activa verificación en dos pasos.
  • Evita usar el mismo correo/contraseña en varios sitios.
  • Usa un método de 2FA fuerte (ideal: app autenticadora).

3.2 Reduce administradores al mínimo (y asigna roles con intención)

Más admins = más puertas. Lo saludable es:

  • Solo 2 admins reales y de confianza.
  • Roles de “anunciante” o “editor” para el resto.
  • Accesos temporales cuando haya freelancers/agencias (y luego revocarlos).

3.3 Protege el correo principal (porque de ahí nacen muchos hackeos)

Muchos ataques empiezan en el correo y se convierten en hack de Facebook. Si quieres blindaje real:

  • 2FA en el correo principal
  • revisar reenvíos/reglas sospechosas
  • correo de recuperación actualizado

Si tu caso se mezcló con alertas o códigos que no pediste, esto te sirve como complemento:

4) Checklist semanal (2 minutos) para evitar sorpresas

  • Revisar personas con acceso / roles (que no aparezcan nuevos).
  • Revisar apps conectadas (que no aparezca una nueva).
  • Revisar actividad publicitaria (si tu negocio anuncia).
  • Confirmar que los admins mantienen 2FA activo.

Este hábito simple evita la mayoría de “me la volvieron a hackear” porque detectas el cambio antes de que escale.

Si no logras recuperar la Página: qué hacer sin perder semanas

Si Meta aún no te devuelve el rol de administrador, enfócate en dos cosas mientras tanto:

  • Recuperar y asegurar tu cuenta personal (para demostrar propiedad).
  • Reunir evidencia concreta (URL de la Página, cambios, fechas, notificaciones, pruebas de negocio).

Estas guías te ayudan a no quedarte atascado:

Con esto, tu Página no solo vuelve: queda preparada para que el próximo intento se quede en “intento” y no en desastre.

Publicado el

WhatsApp clonado: señales reales, cómo saberlo y cómo expulsar al intruso

Cuando alguien dice “me clonaron el WhatsApp”, casi siempre se refiere a una de estas tres situaciones reales:

  • Sesiones vinculadas (WhatsApp Web/Escritorio) que tú no autorizaste.
  • Robo de cuenta por código (alguien registró tu número en otro teléfono).
  • Malware/spyware en el celular (control o lectura de pantalla, permisos peligrosos).

La buena noticia: en la mayoría de casos puedes confirmarlo rápido y tomar control. La mala: si lo ignoras, el atacante puede usar tu identidad para estafar a tus contactos o intentar entrar a tus cuentas vinculadas.

Lo que vas a lograr con esta guía:

  • Saber si de verdad tu WhatsApp está clonado (sin suposiciones).
  • Identificar cuál de los 3 escenarios es el tuyo.
  • Dejar listo el plan para expulsar al intruso y proteger tu cuenta.

WhatsApp clonado: qué es y qué NO es (para no perder tiempo)

Qué sí puede pasar: alguien accede a tu cuenta por sesiones vinculadas, por registro con tu número/código, o por malware que te espía y roba códigos.

Qué NO es “clonado”:

  • Que te llegue spam por WhatsApp (eso es más phishing/estafa, no clonación).
  • Que tu app se trabe una vez (no significa que alguien esté dentro).
  • Que veas un mensaje “reenviado” en un grupo (no indica hackeo).

En este contenido nos vamos a centrar en señales verificables, de las que no dependen de “sensaciones”.

Señales reales de WhatsApp clonado (las que sí importan)

1) Se enviaron mensajes que tú no escribiste

Esto es una señal fuerte. Sobre todo si:

  • tuviste el teléfono contigo todo el tiempo
  • los mensajes fueron enviados a varios contactos
  • incluyen pedidos de dinero, “urgencia”, o solicitudes de códigos

Ojo: si tu cuenta fue usada para estafar, el atacante suele mandar mensajes rápidos para aprovechar la confianza antes de que lo expulses.

2) Aparece un dispositivo vinculado que no reconoces

Esta es una de las confirmaciones más claras. Si en tu WhatsApp ves un dispositivo/laptop que no es tuyo, actúa como si alguien estuviera leyendo tus chats en ese momento.

Tip de diagnóstico: muchos “clonados” en realidad son esto: alguien tuvo acceso 2 minutos (por phishing o por desbloqueo del teléfono) y dejó WhatsApp Web vinculado para quedarse “pegado”.

3) Te llegan códigos de verificación que tú no pediste

Si te llegan códigos (por SMS o por la app) sin que tú estés registrando WhatsApp, significa que alguien está intentando iniciar sesión con tu número. En este escenario, el siguiente paso del atacante casi siempre es:

  • pedirte el código por chat (“me llegó por error, pásamelo”)
  • presionarte con urgencia (“te van a bloquear”)
  • suplantar a soporte o a un familiar

Si esta es tu situación, este contenido te calza perfecto:

4) Tu WhatsApp se cerró solo o te pide registrarte otra vez

Esto puede significar que tu número fue registrado en otro teléfono. Cuando eso pasa, tu sesión actual puede quedar fuera. No siempre es hackeo (a veces es cambio de teléfono), pero si no hiciste nada y pasó de la nada, es señal de alerta.

5) Cambios de seguridad que tú no hiciste

Si notas que se cambió algo relacionado a protección (por ejemplo, un correo de recuperación o ajustes extraños), es una bandera roja. El atacante intenta asegurar persistencia.

Diagnóstico rápido: identifica tu escenario en 60 segundos

Responde mentalmente:

  • A) ¿Ves un dispositivo vinculado desconocido? → Probable acceso por WhatsApp Web/Escritorio.
  • B) ¿Te sacó de la cuenta o te pide registrarte? → Probable registro del número en otro teléfono (robo por código).
  • C) ¿Instalaste apps raras o diste permisos de accesibilidad? → Probable spyware/malware.

Si estás en el escenario C, revisa esto porque suele ser el “motor” del problema:

Qué NO hacer (porque empeora la situación)

  • No compartas ningún código de verificación con nadie (aunque parezca soporte).
  • No entres a links de “verificación” que te manden por chat.
  • No instales APKs o “WhatsApp modificado” para “recuperar” nada.
  • No te confíes si “ya no pasa nada”: si quedó una sesión vinculada, el atacante puede volver a actuar.

Recursos oficiales (por si quieres validar seguridad directamente)

Plan de emergencia (10–15 minutos): expulsa al intruso y recupera el control

Vamos a lo práctico. Este plan está pensado para cuando sospechas que tu WhatsApp está clonado y quieres cortar el acceso hoy, sin complicarte con tutoriales con capturas.

Importante: hazlo en orden. Si saltas pasos, a veces el atacante se queda “enganchado”.

1) Expulsa sesiones vinculadas (la causa #1 del “me clonarón”)

Si el atacante se quedó con WhatsApp Web/Escritorio, esto es lo que lo saca más rápido:

  • Entra a WhatsApp y busca la opción de Dispositivos vinculados.
  • Si ves una computadora/navegador que no es tuyo: desvincúlalo.
  • Si no estás seguro cuál es cuál: desvincula todo y luego vuelves a vincular solo tu equipo.

Señal de que funcionó: deja de haber actividad rara y los accesos desde “otro lado” se cortan inmediatamente.

2) Si te sacaron de WhatsApp o te pide registrarte otra vez (robo por código)

Esto suele pasar cuando alguien registró tu número en otro teléfono. La forma más directa de recuperar control es forzar el registro desde tu propio teléfono.

  • Vuelve a iniciar el registro con tu número en WhatsApp.
  • Cuando te llegue el código de 6 dígitos, úsalo tú. No se lo des a nadie.
  • Si logras entrar, el otro teléfono debería perder el acceso (por lo general WhatsApp no mantiene el registro en dos teléfonos a la vez).

Si el atacante activó un PIN y te lo pide: ahí ya estás en un escenario de recuperación más duro (porque intentó “cerrarte la puerta”). En ese caso, ve directo a la guía completa:

3) Activa la verificación en dos pasos (PIN) apenas recuperes acceso

Esto es lo que evita el “me lo volvieron a hacer”. Si un atacante vuelve a intentar registrarte con un código, el PIN se convierte en el bloqueo real.

  • Activa el PIN de verificación en dos pasos.
  • Asocia un correo seguro (si WhatsApp lo solicita/permite) para recuperación.

Consejo real: el PIN no debe ser obvio. Evita cumpleaños, 123456, o cosas que un atacante podría deducir de tus redes.

4) Si tu línea se quedó “sin servicio”: sospecha SIM swap

Si tu chip dejó de funcionar de la nada y justo coincidió con códigos de verificación o accesos raros, puede ser que hayan intentado (o logrado) mover tu número a otra SIM. En ese caso:

  • Llama a tu operador (desde otro teléfono) y reporta posible fraude / reposición no autorizada.
  • Pide bloqueo y reversión del cambio si corresponde.
  • Pide una clave/validación extra para futuras reposiciones de chip.

Por qué importa: si el atacante controla tu línea, puede recibir SMS/códigos y entrar a muchas cuentas, no solo WhatsApp.

5) Si instalaste una app rara o diste permisos de accesibilidad: trata esto como malware

Cuando hay apps extrañas, accesibilidad o “administrador del dispositivo”, el atacante puede:

  • leer lo que escribes
  • ver tu pantalla
  • interceptar códigos
  • abrir apps y autorizar cosas “por ti”

En ese escenario, además de expulsar sesiones, tienes que cortar la raíz del problema:

  • Revisa y desactiva Accesibilidad para apps sospechosas.
  • Revisa Administrador del dispositivo si una app no se deja borrar.
  • Desinstala apps que no reconoces (prioriza las instaladas recientemente).

6) Avisa a tus contactos si hubo mensajes enviados solos

Esto corta la estafa en cadena. Un atacante usa tu cuenta para pedir dinero o códigos. Un aviso simple salva a alguien de caer:

  • “Si recibes un mensaje raro mío, no hagas clic ni envíes códigos. Estoy recuperando mi cuenta.”

Validación rápida (en 2 minutos)

  • No hay dispositivos vinculados que no reconozcas (o ya desvinculaste todo).
  • Tu WhatsApp no se cierra solo ni te pide registro sin razón.
  • No se envían mensajes solos.
  • PIN de verificación en dos pasos activo.
  • No hay permisos peligrosos dados a apps raras.

Blindaje definitivo: evita que vuelvan a clonar tu WhatsApp (y detecta señales de persistencia)

Si ya expulsaste sesiones y recuperaste el control, ahora viene lo que realmente te ahorra problemas: cerrar la puerta por donde entraron. En la práctica, casi siempre fue por phishing (código o link), por sesiones vinculadas que quedaron abiertas, o por malware en el celular.

Este blindaje está pensado para que lo hagas una sola vez y luego solo revises 1–2 cosas por semana.

El candado número 1: verificación en dos pasos (PIN) + correo seguro

El PIN es el freno más fuerte contra el robo por código. Si mañana alguien intenta registrar tu número, el PIN suele ser lo que lo detiene.

  • Activa la verificación en dos pasos (PIN).
  • Usa un PIN no obvio (no fechas, no 123456).
  • Si WhatsApp te permite asociar un correo, pon uno que controles y que tenga buena seguridad.

Hábito semanal que evita el 80% de “clonados”: revisa dispositivos vinculados

Muchos ataques no “te roban” el WhatsApp completo: te dejan una sesión vinculada y esperan el momento para actuar. Por eso:

  • Revisa tus dispositivos vinculados 1 vez por semana.
  • Si ves algo desconocido: desvincula todo y vuelve a conectar solo lo tuyo.
  • Si compartes computadora con alguien: desvincula al terminar (especialmente en equipos públicos).

Consejo realista: si tú mismo te vinculas en un cyber o laptop prestada “por un ratito”, ese “ratito” puede convertirse en acceso permanente si no lo cierras bien.

La raíz más común: phishing (código, enlaces, “soporte”) — cómo no volver a caer

Una regla que te protege más que cualquier app:

  • Nunca compartas el código de 6 dígitos con nadie.
  • Nunca mandes capturas de pantallas de códigos.
  • Nunca entres a enlaces de “verificación” enviados por chat.

Si quieres el mapa completo de estafas y guiones típicos (soporte falso, verificación, premio, trabajo), aquí tienes:

Si hubo apps raras o permisos peligrosos: protege tu celular (porque ahí está el verdadero riesgo)

Cuando el problema se mezcla con malware/spyware, el atacante no solo busca WhatsApp: busca leer tu pantalla, interceptar códigos y quedarse con más cuentas. Señales típicas:

  • apps que “aparecieron” sin que tú las instales
  • permisos de accesibilidad activados para apps raras
  • el teclado se comporta extraño, toques fantasmas, popups
  • consumo alto de batería/datos sin motivo

En ese caso, revisa y limpia estos puntos (son los más usados para control):

Si tu línea se queda sin señal o cambió “sola”: refuerza contra SIM swap

Si tu chip deja de funcionar justo cuando llegan códigos, tómalo en serio. Una defensa práctica:

  • pídele a tu operador una clave/validación extra para reposición de SIM
  • evita que cualquiera pueda pedir “duplicado” solo con datos básicos

Por qué importa: si controlan tu línea, pueden pedir códigos de muchas cuentas, no solo WhatsApp.

Checklist de 48 horas (para confirmar que quedó resuelto)

Durante las próximas 48 horas, revisa esto:

  • No aparecen nuevos dispositivos vinculados.
  • No se envían mensajes solos.
  • No te llegan códigos de verificación que no pediste.
  • No aparecen apps nuevas raras ni permisos de accesibilidad activados sin explicación.

Si alguno falla, asume que hay persistencia: phishing activo, malware en el teléfono o problema con tu línea. En ese caso, este contenido es el camino directo cuando no puedes entrar o te “cerraron” la cuenta:

Mini guion para tu familia/equipo (para cortar el ataque en cadena)

  • “Si te piden un código por WhatsApp, es estafa.”
  • “Si te mandan un link de verificación, no lo abras.”
  • “Si yo te pido dinero por chat, confirma por llamada.”

Con esto, tu riesgo baja muchísimo y, lo más importante, si alguien vuelve a intentar algo, lo detectas antes de que escale.

Publicado el

Phishing en WhatsApp: cómo reconocerlo, evitarlo y proteger tu cuenta

phishing whatsapp

Si te llegó un mensaje raro por WhatsApp (de “soporte”, “Meta”, “verificación”, “premio”, “trabajo” o incluso de un familiar pidiendo un código), estás en el lugar correcto. El phishing en WhatsApp no busca “hackearte” con magia: busca que tú mismo abras la puerta con un clic, un código o un permiso.

Lo que vas a aprender a hacer hoy:

  • Detectar un intento de phishing en 20 segundos (sin volverte paranoico).
  • Saber qué mensajes y enlaces son señal roja aunque parezcan legítimos.
  • Proteger tu WhatsApp con medidas simples que reducen muchísimo el riesgo.

Qué es el phishing en WhatsApp (explicado fácil)

Phishing es cuando alguien se hace pasar por alguien confiable para que tú hagas una acción peligrosa. En WhatsApp normalmente buscan una de estas tres cosas:

  • Tu código de verificación (el de 6 dígitos) para robar tu cuenta.
  • Que entres a un enlace falso para robar datos o instalar malware.
  • Que instales una app o des permisos (por ejemplo accesibilidad) para espiarte o controlar el teléfono.

Regla de oro: si te piden un código, un PIN, o que “verifiques” tu cuenta con un link fuera de WhatsApp, asume que es intento de robo hasta demostrar lo contrario.

Detección en 20 segundos: señales claras de phishing en WhatsApp

1) Te piden el código de 6 dígitos (o una captura) “por seguridad”

Esta es la estafa más común y más efectiva. Puede venir como:

  • “Te llegó un código por SMS, pásamelo para confirmar que eres tú.”
  • “Soy soporte, necesito el código para desbloquear tu cuenta.”
  • “Te registré en un sorteo / trabajo / verificación, envíame el código.”

Traducción real: quieren iniciar sesión con tu número y el código es la llave. Si lo entregas, pueden tomar tu WhatsApp en minutos.

2) Mensaje con urgencia emocional: “te van a bloquear hoy”, “último aviso”, “tu cuenta será cerrada”

El phishing casi siempre mete presión para que actúes sin pensar. Si el mensaje quiere que hagas algo ya, desconfía. WhatsApp no suele amenazarte por chat con “último aviso” desde un número cualquiera.

3) Enlaces raros o acortados (y sobre todo, con excusas)

Señales rojas en links:

  • dominios raros (con letras de más, guiones, números, o nombres que imitan a WhatsApp)
  • links acortados (bit.ly y similares) para ocultar a dónde vas
  • te dicen “abre aquí para ver la foto / el paquete / el reporte / el bloqueo”

Tip práctico: si el link no es de una fuente oficial clara y te piden iniciar sesión o meter datos, sal de ahí. Muchos “formularios” son clones.

4) Te mandan un archivo “inofensivo” que no pediste (APK, app, “actualización”)

Si te mandan:

  • un APK
  • una “app para ver el video”
  • una “actualización de WhatsApp”

…es una bandera roja enorme. WhatsApp no se actualiza por chat, se actualiza por su tienda oficial.

Si sospechas que instalaste algo raro o diste permisos extraños, estos temas se conectan perfecto:

5) Mensajes “desde un conocido” pero con un tono raro

Muchos ataques vienen desde cuentas robadas. Es decir, te escribe “tu primo” pero el mensaje suena diferente y te pide algo raro: dinero, un código, un link. Si notas:

  • urgencia exagerada
  • peticiones fuera de contexto
  • “no puedo hablar, solo envíame el código”

asume que esa cuenta puede estar comprometida.

Qué hacer inmediatamente cuando sospechas phishing (sin haber caído)

1) No respondas y no abras el enlace

En phishing, responder a veces confirma que tu número está activo y te vuelven a insistir.

2) Bloquea y reporta el contacto

Si el mensaje viene de un número desconocido o claramente falso, bloquéalo y repórtalo desde WhatsApp.

3) Activa (o revisa) la verificación en dos pasos (PIN)

Esto es una de las mejores defensas contra el robo por código. Aunque alguien obtenga tu código, el PIN puede frenar el secuestro de tu cuenta.

4) Revisa si hay dispositivos vinculados que tú no reconoces

Una señal fuerte de compromiso es cuando aparece una sesión vinculada que no es tuya. Si ves algo raro, desconéctalo.

Cuando tengas publicado el tema, este enlace interno será clave:

Mini checklist para no caer (guárdalo mentalmente)

  • Nunca compartas el código de 6 dígitos ni capturas.
  • Desconfía de “soporte” por chat que te amenaza o te apura.
  • No instales APKs enviados por WhatsApp.
  • Activa verificación en dos pasos (PIN).
  • Revisa dispositivos vinculados si notas algo raro.

Si ya hiciste clic, ya compartiste el código o te robaron la cuenta, el siguiente contenido es más directo y de emergencia:

Si ya caíste en phishing de WhatsApp: qué hacer según el caso (clic, código, APK o SIM)

Si estás leyendo esto con el corazón acelerado porque ya abriste el enlace, ya diste el código o ya te sacaron de tu cuenta, respira: en la mayoría de casos todavía se puede cortar el ataque si actúas en orden. Aquí tienes un plan por escenarios, sin pasos con capturas y sin perder tiempo.

Elige tu caso y sigue el orden. Si no estás seguro, empieza por el Caso A y avanza.

Caso A: Solo hice clic en el enlace (no puse datos, no instalé nada)

Buen escenario. Aun así, algunos enlaces intentan forzar descargas o abrir páginas que roban cookies/datos.

  • 1) Cierra la pestaña y no vuelvas a abrir el enlace.
  • 2) Borra datos del navegador (historial/cookies) para cortar rastros simples.
  • 3) Revisa WhatsApp: ¿ves mensajes enviados solos?, ¿cambios raros?, ¿dispositivos vinculados extraños?
  • 4) Activa o revisa tu PIN (verificación en dos pasos).

Si después de esto notas popups, redirecciones o apps raras, salta al Caso C.

Caso B: Compartí el código de 6 dígitos (o me llegó un código que no pedí)

Este es el caso más común de robo de cuenta. El atacante usa tu código para registrar tu WhatsApp en otro teléfono. Aquí la velocidad importa.

1) Intenta re-registrar tu WhatsApp inmediatamente

Abre WhatsApp y vuelve a iniciar sesión con tu número. Al hacerlo, normalmente fuerzas a que el otro dispositivo pierda el acceso (porque WhatsApp solo puede estar “registrado” en un teléfono a la vez).

Si te pide el código otra vez: usa el SMS/llamada oficial que te llega a ti. No se lo des a nadie.

2) Activa tu verificación en dos pasos (PIN) apenas recuperes acceso

Esto es lo que evita que vuelvan a hacerlo con otro código.

3) Revisa “dispositivos vinculados” y desconecta lo que no reconozcas

Aunque recuperes el registro principal, el atacante a veces intenta quedarse con WhatsApp Web/Escritorio vinculado.

4) Avisa a tus contactos (para cortar la cadena)

Si te robaron la cuenta, es común que escriban a tus contactos pidiendo dinero o códigos. Un mensaje simple a tus cercanos puede evitar que alguien más caiga.

Si ya perdiste acceso y no puedes entrar, ve directo a:

Caso C: Instalé una app / APK o me pidió permisos raros (accesibilidad, administrador del dispositivo)

Este caso ya no es solo “WhatsApp”: puede haber malware o spyware en el teléfono. Señales típicas:

  • se instala algo “solo”
  • aparecen anuncios/pantallas raras
  • el teléfono se calienta o consume batería/datos sin razón
  • te pide permisos de accesibilidad o administrador del dispositivo

1) Desconecta el teléfono de Internet por unos minutos

Activa modo avión o apaga Wi-Fi/datos. Esto corta comunicaciones del malware mientras revisas permisos.

2) Revisa permisos peligrosos y quítalos

En Android, los permisos que más se usan para control son:

  • Accesibilidad (puede tocar/leer pantalla)
  • Administrador del dispositivo (dificulta desinstalar)

Si esto te suena, te conviene leer:

3) Desinstala apps que no reconoces (prioriza las “recién instaladas”)

El truco típico es camuflarse como “actualización”, “seguridad”, “lector”, “configuración”, “cleaner”. Si no lo instalaste tú con intención clara, sospecha.

4) Cambia contraseñas importantes desde un dispositivo limpio

Si instalaste un APK, no cambies contraseñas desde ese mismo teléfono hasta estar seguro. Prioriza:

  • correo principal
  • banco/billeteras
  • cuentas sociales

Caso D: Mi SIM dejó de funcionar o me “robaron la línea” (SIM swap)

Si de repente tu chip se queda sin señal y a la vez te llegan avisos de intentos de verificación, puede ser un SIM swap. Aquí el atacante intenta recibir tus SMS/llamadas de verificación.

Señales:

  • tu línea se queda “sin servicio” sin motivo
  • no puedes recibir SMS/códigos
  • te avisan que tu línea fue “migrada” o “repuso chip” sin pedirlo

Qué hacer ya:

  • Contacta a tu operador desde otro teléfono y pide bloqueo/reversión por posible fraude.
  • Pide que agreguen o refuercen una clave de seguridad para reposición de SIM.
  • Cuando recuperes tu línea, re-registra WhatsApp y activa el PIN.

Validación rápida: ¿ya estás fuera de peligro?

  • Tu WhatsApp está registrado en tu teléfono y no se cierra solo.
  • No hay dispositivos vinculados desconocidos.
  • No se envían mensajes solos.
  • No hay apps nuevas raras ni permisos peligrosos activos.
  • Tu correo y tu línea están bajo tu control.

Si todavía notas que “algo no cuadra” (mensajes que no escribiste, accesos raros, cambios que reaparecen), no te quedes solo en WhatsApp: revisa también tu teléfono y tus cuentas principales.

Protección definitiva contra phishing en WhatsApp (para que no te vuelva a pasar)

Si algo bueno deja una experiencia así es que, con 3–5 ajustes, puedes reducir muchísimo el riesgo de que te vuelvan a robar la cuenta. El phishing funciona porque aprovecha urgencia, confianza y hábitos automáticos. Aquí vamos a cortar esas palancas.

Activa las defensas que más bloquean el robo de cuenta

1) Verificación en dos pasos (PIN): tu “candado” real

Si solo haces una cosa hoy, que sea esta. La verificación en dos pasos agrega un PIN que el atacante necesitaría incluso si logra tu código de 6 dígitos.

Consejo práctico: no uses un PIN obvio (123456, tu cumpleaños). Y guarda un correo seguro asociado para recuperación.

2) Revisa “dispositivos vinculados” como hábito (1 vez por semana)

Mucha gente pierde la cuenta, la recupera… pero el atacante se queda enganchado por una sesión vinculada. Un chequeo rápido semanal te evita sorpresas.

Cuando tengas publicado el artículo, este tema encaja como complemento:

3) No entregues “pruebas” por chat (códigos, capturas, links)

Una regla simple para ti y tu familia/equipo:

  • Nunca compartas el código de verificación.
  • Nunca mandes captura de tu pantalla de códigos.
  • Nunca instales “WhatsApp actualizado” por link.

Aprende a identificar los 6 guiones más usados por estafadores

Los atacantes cambian el texto, pero repiten la misma estructura. Si lo reconoces, se te hace fácil bloquearlo sin pensarlo demasiado.

1) “Soporte WhatsApp/Meta” (miedo + urgencia)

Te quieren meter prisa: “bloqueo”, “reporte”, “último aviso”. Su objetivo real es que hagas clic o entregues el código.

2) “Verificación / cuenta verificada / insignia”

Prometen una “mejora” y te llevan a un enlace falso. En la práctica buscan credenciales o permisos.

3) “Oferta de trabajo / inversión / comisión rápida”

Te mandan un link a un “formulario” y luego escalan a pedir código, DNI o instalar una app.

4) “Paquete retenido / delivery / multa”

Funciona porque mucha gente espera pedidos. Si no pediste nada o el link es raro, no entres.

5) “Mira esta foto/video” (archivo o link sorpresa)

Te apalancan con curiosidad. Es el gancho perfecto para enlaces o archivos maliciosos.

6) “Familiar/Amigo en apuros” (estafa emocional)

Cuando una cuenta fue robada, el atacante se hace pasar por esa persona. Si el tono no cuadra y hay urgencia, verifica por otro canal (llamada normal, audio, pregunta privada).

Endurece tu teléfono (porque WhatsApp vive dentro del dispositivo)

Si el atacante logra que instales algo o des permisos, ya no estamos hablando solo de WhatsApp: hablamos de control del teléfono. Estas son medidas que valen oro en Android:

  • Evita instalar apps fuera de la tienda oficial.
  • Revisa permisos de Accesibilidad si notas comportamiento raro.
  • Si el teléfono se calienta, consume datos o batería de forma extraña, investiga.

Temas relacionados (útiles si el phishing vino con APK o permisos):

Checklist rápido “anti-phishing” (para ti y para tu casa)

  • PIN de verificación en dos pasos activo.
  • Correo de recuperación seguro asociado.
  • Revisión semanal de dispositivos vinculados.
  • Cero códigos compartidos por chat (nunca).
  • Cero APKs o “actualizaciones” por link.
  • Si un amigo/familiar pide algo raro: confirmación por otra vía.

Si ya te robaron la cuenta, no improvises

Si perdiste acceso o el atacante está escribiendo a tus contactos, ve directo a la guía de recuperación completa:

Y si lo que te preocupa es que tu WhatsApp esté “duplicado” en otro dispositivo, este será el siguiente paso lógico cuando lo publiques:

Publicado el

Usuarios admin desconocidos en WordPress: qué hacer y cómo eliminarlos sin reinfección

Usuarios admin desconocidos en WordPress

Si entraste a tu WordPress y viste un administrador que no reconoces, no lo trates como “algo raro” sin más: normalmente significa una de dos cosas: alguien ya tuvo acceso o todavía lo tiene. Y cuando hay un admin intruso, el problema no es solo ese usuario… es lo que pudo haber hecho: crear puertas traseras, cambiar correos, inyectar código, o dejar algo programado para volver.

Lo que vas a lograr hoy:

  • Contener el incidente para que el intruso no siga actuando.
  • Recuperar control aunque te hayan cambiado permisos o datos.
  • Dejar el sitio listo para eliminar al admin intruso de forma segura (sin que reaparezca).

Importante: si tu web tiene WooCommerce o formularios con datos, actúa con prioridad alta. Un admin intruso puede añadir scripts sin que tú lo notes.

Señales de que no es un “error”, sino acceso real

  • Apareció un usuario con rol Administrador que tú no creaste.
  • Tu usuario perdió permisos (te bajaron a “Editor” o algo similar).
  • Cambios de correo, nombre del sitio, plugins instalados sin explicación.
  • Reaparecen usuarios aunque los borres (señal de puerta trasera).
  • Hay redirecciones, SEO spam o archivos modificados recientemente.

Si además viste redirecciones o spam en Google, te conviene tener a mano estas guías:

Plan de emergencia (primeros 10–15 minutos): corta el acceso del intruso

Antes de borrar nada, tu prioridad es detener el daño. Piensa como si hubieras encontrado una puerta abierta en tu casa: primero la cierras, luego investigas.

1) Si todavía puedes entrar al wp-admin: activa modo mantenimiento

Si tu sitio está infectado o hay comportamientos raros, ponerlo en mantenimiento temporalmente reduce el riesgo de que:

  • más usuarios caigan en redirecciones
  • Google marque tu sitio como peligroso
  • se sigan ejecutando cambios mientras limpias

2) Haz un backup “de evidencia” (no para restaurar a ciegas)

Guarda una copia de archivos y base de datos. No porque quieras restaurar ese estado, sino porque te sirve para:

  • comparar qué cambió
  • recuperar información si algo sale mal
  • tener una referencia del momento en que detectaste el problema

3) Crea un admin seguro temporal (si no estás 100% seguro de tu acceso)

Esto suena contraintuitivo, pero es una jugada defensiva: si tu cuenta actual está comprometida o te cambian permisos, puedes quedarte fuera. Crea un admin nuevo con:

  • correo que controlas y que esté protegido
  • contraseña única y fuerte
  • nombre que tú reconozcas (para identificarlo luego)

Ojo: este admin es “de emergencia”. Más adelante dejaremos solo los admins necesarios.

4) Cambia accesos críticos (no solo WordPress)

Este paso es el que más evita que vuelvan a entrar. Cambia, en este orden:

  • Hosting/cPanel (si tienen esto, pueden volver aunque borres usuarios)
  • SFTP/FTP
  • Contraseñas de WordPress (todos los administradores)

Tip realista: muchas personas cambian la clave de WordPress y se quedan tranquilos… pero el atacante sigue entrando por hosting/FTP y re-crea el admin en minutos.

5) Cierra sesiones activas (cuando sea posible)

Si el intruso está dentro ahora mismo, cambiar la contraseña ayuda, pero cerrar sesiones es el golpe final. Además, en el refuerzo final conviene rotar llaves internas de WordPress para invalidar cookies antiguas.

Qué NO hacer todavía (errores que hacen que el intruso vuelva)

  • No borres al admin intruso sin asegurar hosting/FTP primero. Si tiene acceso al servidor, lo recrea.
  • No instales plugins “limpiadores” desconocidos por desesperación. Algunos empeoran el problema.
  • No te confíes si “ya no lo ves” en la lista: puede quedar un backdoor que lo crea de nuevo.
  • No uses themes/plugins nulled (piratas): son una causa común de admins intrusos.

¿Por qué aparece un admin desconocido? (la causa real casi siempre está aquí)

En WordPress, este escenario suele venir de:

  • Plugin vulnerable o desactualizado.
  • Theme/plugin nulled (con puerta trasera incluida).
  • Contraseña reutilizada (filtrada en otra web).
  • Acceso al hosting/FTP (no entraron por wp-admin, entraron por el servidor).
  • Contagio cruzado: otra web del mismo hosting estaba infectada y saltó a la tuya.

En el siguiente paso vamos a eliminar al usuario intruso de forma segura, revisar roles/capabilities, y buscar la “puerta” que permitió que aparezca. Si lo hacemos bien, esto no se repite.

Lecturas internas recomendadas

Cómo eliminar el admin intruso sin romper tu web (y sin que reaparezca)

Aquí es donde mucha gente comete el error clásico: ve el usuario raro, lo borra… y a los días vuelve a aparecer. Eso pasa cuando el atacante todavía tiene otra puerta (hosting/FTP, plugin vulnerable, backdoor). Por eso, antes de tocar “Eliminar”, asegúrate de que ya hiciste lo básico: cambié accesos críticos, tengo un admin seguro y guardé un backup de evidencia.

Objetivo: eliminar el administrador desconocido, recuperar control total y dejar señales claras de si hay persistencia (backdoor/reinfección).

1) Confirma que el “admin desconocido” realmente es intruso

Antes de borrar, valida esto rápido para no eliminar algo legítimo por error:

  • Correo: ¿es tuyo o de alguien del equipo? Si no lo reconoces, mala señal.
  • Fecha de registro: si se creó justo antes de que aparezcan redirecciones/spam, casi confirmado.
  • Nombre/usuario raro: combinaciones extrañas, números, nombres genéricos (“support”, “admin2”, “wpservice”).
  • Actividad reciente: cambios en plugins, themes, settings, usuarios nuevos.

Tip realista: a veces el intruso se crea como “Editor” o “Autor” y luego se sube a Admin cambiando capacidades. Si ves roles raros o permisos que no cuadran, trátalo como compromiso.

2) Asegura tu “punto de retorno” antes de eliminar

Esto te evita quedarte fuera si algo sale mal:

  • Confirma que existe un admin seguro que controlas.
  • Confirma que puedes entrar al hosting (cPanel/panel) y al SFTP/FTP.
  • Ten a mano el backup de evidencia.

Si todavía no estás seguro del estado general del sitio, apóyate con:

3) Elimina el usuario intruso (sin perder contenido importante)

Cuando eliminas un usuario en WordPress, te preguntará qué hacer con su contenido. Haz esto:

  • Si el intruso publicó páginas/posts: reasigna el contenido a tu admin seguro para poder revisar luego qué hizo.
  • Luego sí: elimina el usuario.

Por qué reasignar: a veces el atacante crea páginas de SEO spam o modifica contenido. Reasignar te permite auditar y borrar lo malo con control.

4) Si el admin vuelve a aparecer: asume backdoor o acceso al servidor

Si lo borras y vuelve, no es un “bug”. Es señal fuerte de:

  • acceso al hosting/FTP (te recrean usuarios desde fuera)
  • backdoor en mu-plugins, uploads, theme, o plugin
  • plugin vulnerable aún activo

Estos artículos satélite son los que más ayudan cuando hay persistencia:

5) Audita “la puerta” más común: plugins y themes

En la práctica, el 80% de casos se explica así: un plugin vulnerable o nulled permitió ejecutar código y crear un admin.

Checklist rápido:

  • Elimina plugins que no uses (no solo desactivar).
  • Actualiza plugins activos (y el core).
  • Si hay plugins “premium gratis / nulled”: elíminalos. Aunque “funcionen”.
  • Revisa si hay plugins que tú no instalaste (especialmente seguridad/SEO raros).

Si no quieres adivinar, la guía oficial de endurecimiento de WordPress te marca buenas prácticas:

6) Revisa los 4 escondites típicos de backdoors (los que casi nadie mira)

No necesitas “leer todo el código”. Solo revisa con intención:

A) mu-plugins

Si existe wp-content/mu-plugins/ y tú nunca lo usaste, revisa. Allí se cargan cosas automáticamente.

B) uploads

Busca si hay archivos .php dentro de uploads. Eso casi nunca debería existir.

C) theme (functions.php / header.php / footer.php)

Si ves scripts extraños, cadenas gigantes, o funciones ofuscadas, mala señal.

D) wp-config.php

El wp-config debería tener configuración, no “lógica” extra. Si ves includes raros o código largo, sospecha.

Para profundizar según lo que encuentres:

7) Rota “llaves internas” para invalidar sesiones antiguas

Esto es un golpe fuerte contra accesos persistentes (cookies/sesiones). Después de eliminar al intruso y asegurar accesos, rota las security keys para invalidar sesiones existentes.

8) Validación en 24–48 horas (señales de que realmente quedó resuelto)

En las siguientes 24–48 horas, revisa:

  • No aparece de nuevo el admin intruso.
  • No se crean usuarios nuevos solos.
  • No reaparecen redirecciones ni scripts raros.
  • No se vuelven a modificar archivos críticos sin explicación.

Si algo de esto falla, no pierdas tiempo repitiendo lo mismo: ya es un caso de persistencia. Ve directo a:

Blindaje definitivo: evita que vuelvan a crear admins y endurece tu WordPress

Eliminar al administrador intruso es solo la mitad del trabajo. Lo que te protege de verdad es cerrar la causa (la “puerta”) y montar un sistema simple para enterarte rápido si algo vuelve a pasar. Aquí tienes un plan práctico, sin rodeos, para que tu WordPress no quede vulnerable otra vez.

Reduce el riesgo con el principio “menos cosas = menos ataques”

1) Elimina plugins y themes que no uses (no solo desactivar)

Desactivado no significa fuera. Un plugin viejo en el servidor sigue siendo una superficie de ataque si tiene vulnerabilidades. Haz una limpieza real:

  • borra plugins que no aporten valor
  • borra themes que no uses (deja solo el activo y uno de respaldo)
  • evita plugins duplicados que hacen lo mismo

2) Actualiza con disciplina (especialmente seguridad)

La reinfección suele llegar por el mismo plugin desactualizado. Tu regla mínima:

  • revisar actualizaciones al menos 1 vez por semana
  • si hay actualización de seguridad, aplicar cuanto antes

Para buenas prácticas generales, WordPress mantiene una guía oficial:

Refuerza cuentas y sesiones (lo que más frena “vuelvo a entrar”)

3) Contraseñas únicas + 2FA para administradores

Si una contraseña se reutiliza, no se “adivina”, se filtra. Asegura al menos a todos los administradores con:

  • contraseñas únicas (no repetidas en otras webs)
  • 2FA en los accesos críticos

4) Rota llaves internas de WordPress cuando hay incidente

Esto invalida sesiones y cookies antiguas. Es especialmente útil si sospechas que el intruso seguía “logueado” aunque cambies contraseñas.

5) Minimiza administradores (mínimo privilegio)

Muchos sitios tienen 3–5 admins por costumbre. Deja admin solo a quien configura el sitio. El resto, roles menores. Menos admins = menos riesgo de toma total.

Evita que el acceso vuelva por “afuera” (hosting/FTP/DNS)

6) Asegura hosting y FTP/SFTP como si fueran la puerta principal

Si el atacante tuvo acceso al hosting, puede recrear usuarios aunque tú los borres desde WordPress. Por eso, además de WP:

  • cambia contraseña de panel de hosting
  • cambia credenciales de SFTP/FTP
  • elimina usuarios FTP que no uses

7) Si tu dominio o DNS se ven raros, revisa “DNS hijacking”

Cuando el sitio apunta a otro servidor o te aparece una web diferente aunque “WordPress esté bien”, puede ser tema de DNS.

Monitoreo simple: detecta la reaparición antes de que te haga daño

8) Señales que debes revisar cada 2–3 días durante 2 semanas

  • lista de usuarios: ¿aparecen nuevos admins?
  • plugins instalados: ¿apareció alguno que no pusiste?
  • archivos: ¿se modifican wp-config.php, functions.php o mu-plugins?
  • comportamiento: ¿redirige solo en móvil o desde Google?

9) Si tu síntoma fue SEO spam o redirecciones, vigila Google

Cuando te atacan con spam, a veces el sitio “se ve bien” pero Google sigue indexando basura. Te conviene complementar con:

Si vuelve a pasar (o si el admin reaparece): no repitas, escala el enfoque

Si reaparece el admin, si vuelven archivos solos o si notas reinfección, la prioridad es buscar persistencia (backdoor) y cerrar el agujero real. En ese caso, ve directo a:

Checklist final (si cumples esto, estás en zona segura)

  • Solo admins necesarios, el resto con roles menores.
  • Contraseñas únicas + 2FA en cuentas críticas.
  • Plugins y themes no usados eliminados.
  • Core, plugins y themes actualizados.
  • Hosting/FTP asegurados (sin usuarios sobrantes).
  • Llaves internas rotadas tras el incidente.
  • Sin .php sospechosos en uploads, sin mu-plugins raros.
Publicado el

Virus en WordPress: señales, cómo eliminarlo y evitar reinfección

Virus en WordPress

Si estás aquí, probablemente ya viste una señal que no se siente “normal”: tu web redirige a páginas raras, aparece spam en Google, se crearon usuarios admin desconocidos, o tu hosting te avisó de malware. En WordPress, cuando algo se infecta, lo peor no es el susto: es perder tiempo haciendo “limpiezas” que no cierran la puerta real y a los días vuelve todo.

Lo que vas a lograr hoy (sin tutorial con capturas, directo a resultados):

  • Confirmar si realmente hay virus/malware en WordPress y qué tipo de infección parece.
  • Aplicar un plan de contención para que el daño no siga creciendo (redirecciones, spam, robo de tarjetas, etc.).
  • Dejar listo el terreno para limpiar bien (en el siguiente bloque), sin caer en errores comunes.

Importante: si tu sitio procesa pagos (WooCommerce), trata esto como prioridad máxima. No es paranoia: existen infecciones tipo skimmer que intentan capturar datos de pago.

Señales claras de virus/malware en WordPress (las que casi nunca son “casualidad”)

1) Redirecciones a páginas raras (solo en móvil o desde Google)

Una de las señales más típicas: tu web se ve “normal” para ti, pero usuarios reportan que los manda a casinos, premios, APKs o páginas con publicidad agresiva. A veces solo ocurre:

  • cuando entran desde Google
  • cuando navegan desde móvil
  • cuando llegan por ciertos países

Esto suele ser inyección de código (JS/PHP) o reglas escondidas para “filtrar víctimas”. Si este es tu síntoma principal, luego enlazaremos a:
WordPress redirige a páginas raras.

2) “SEO spam” (títulos raros indexados: casino, japonés, farmacia, etc.)

Cuando de pronto aparecen páginas que tú no creaste (o resultados extraños en Google), normalmente es SEO spam: el atacante inyecta URLs o contenido para posicionar palabras basura en tu dominio.

Relacionado para profundizar:
SEO spam en WordPress.

3) Usuarios admin desconocidos o cambios de contraseña que no hiciste

Si aparece un “administrador” que no reconoces, ya no es solo “virus”, es control. Muchos atacantes primero crean su usuario, luego dejan una puerta trasera (backdoor) para volver aunque limpies.

Cuando publiques este, será un gran enlace interno:
Usuarios admin desconocidos en WordPress.

4) Archivos modificados sin explicación (wp-config.php, functions.php, plugins raros)

Si notas archivos tocados “ayer” cuando tú no hiciste cambios, o ves cosas como:

  • cadenas largas tipo base64
  • scripts incrustados en functions.php
  • archivos en wp-content/mu-plugins que tú no creaste

Eso suele ser inyección. Algunos atacantes esconden el malware donde casi nadie mira.

Luego enlazaremos a:
Malware en wp-config.php y
Base64 JavaScript sospechoso.

5) Tu web se puso lenta de golpe (picos de CPU, disco, tráfico raro)

Cuando hay un pico fuerte sin explicación, pueden ser bots, spam o incluso procesos maliciosos. No siempre es virus, pero si coincide con otras señales, suma puntos.

Qué NO hacer (porque casi garantiza reinfección)

  • No restaures un backup sin saber de qué fecha es el “último limpio”. Si restauras uno infectado, vuelves al mismo lugar.
  • No borres archivos al azar porque “se ven raros”. Puedes romper el sitio y dejar el backdoor vivo.
  • No instales themes/plugins nulled (piratas). Muchos vienen con puertas traseras y son una de las causas #1 de reinfección.
  • No confíes solo en “limpiadores mágicos”. Si no cierras la vulnerabilidad real (plugin, credenciales, permisos), vuelve.

Plan de emergencia (primeros 20 minutos): contén el daño antes de limpiar

Piensa en esto como “apagar el incendio” para que no se siga propagando mientras limpias.

1) Pon el sitio en modo mantenimiento (si puedes)

Si tu sitio está redirigiendo o mostrando contenido peligroso, lo más responsable es activar mantenimiento temporalmente. No es para siempre: es para evitar que más usuarios caigan o que Google te marque como “peligroso”.

2) Haz un backup, pero con una regla

Haz backup del sitio y base de datos, pero considéralo un “snapshot de evidencia”, no un backup para restaurar sin revisar. Te sirve para:

  • comparar archivos luego
  • revisar qué se modificó
  • no perder datos si algo sale mal

3) Cambia accesos críticos (para cortar al intruso)

Este es el cierre de puertas más directo. Cambia, al menos:

  • WordPress admin (y todos los admins)
  • Hosting/cPanel
  • FTP/SFTP
  • Base de datos (si sabes hacerlo o lo hará tu técnico)

Tip realista: muchos ataques se mantienen porque el atacante ya tiene acceso al hosting o FTP. Si solo cambias WordPress, vuelven a entrar por fuera.

4) Revisa si hay admin desconocidos y congela el acceso

Si detectas usuarios admin que no reconoces, no te quedes “mirando”. Ese usuario es el ancla del atacante. En la limpieza profunda se elimina bien y se revisan permisos, pero desde ya:

  • anota su nombre/correo
  • revisa fecha de creación si puedes
  • prepara la eliminación para cuando limpies

5) Si usas WooCommerce, asume riesgo hasta demostrar lo contrario

No para asustarte, sino para actuar con cabeza: si hubo infección, revisaremos en el siguiente bloque señales de skimmer (inyección de JS en checkout). Este tema se conecta con:
Credit card skimmer en WooCommerce.

Cómo saber “por dónde” entró (la pista que define si vuelve o no)

En WordPress casi siempre entra por una de estas puertas:

  • plugin o theme desactualizado
  • credenciales reutilizadas o filtradas
  • plugins/themes nulled
  • permisos de archivos inseguros
  • hosting con otra web infectada (contagio cruzado)

En el siguiente bloque haremos la limpieza con dos rutas: una rápida (si tienes backup limpio) y una profunda (si necesitas eliminar inyecciones/backdoors), y dejaremos un checklist para que la reinfección no te vuelva a golpear.

Lecturas internas recomendadas

Cómo eliminar el virus en WordPress: ruta rápida vs limpieza profunda (sin capturas)

Aquí viene la parte que define si esto se resuelve “de verdad” o si vuelve en 7 días. En WordPress, la mayoría de reinfecciones pasan por una razón simple: se limpia el síntoma (redirige, spam, popup) pero no se elimina la puerta trasera ni la vulnerabilidad que permitió entrar.

Elige tu ruta según tu situación:

  • Ruta rápida: tienes un backup reciente que estás casi seguro que estaba limpio.
  • Limpieza profunda: no confías en backups, hay señales de backdoor, o el sitio sigue reinfectándose.

Ruta rápida (si tienes un backup realmente limpio)

Esta ruta es la más efectiva cuando el backup es anterior al problema y proviene de una fuente confiable (hosting, plugin de backups serio, o export controlado). El objetivo es restaurar y luego cerrar la entrada para que no vuelva.

1) Restaura el backup limpio (archivos + base de datos)

  • Restaura archivos del sitio.
  • Restaura base de datos del mismo punto en el tiempo.

Advertencia realista: restaurar solo archivos o solo base de datos deja “mitades” que a veces reactivan la infección.

2) Actualiza todo inmediatamente (core + plugins + themes)

Si restauras y no actualizas, puedes estar dejando abierta la misma vulnerabilidad. Lo mínimo:

  • WordPress core a versión actual
  • Plugins actualizados (o eliminados si no son esenciales)
  • Theme actualizado

3) Cambia credenciales y claves (esto evita el “vuelvo por FTP”)

  • Contraseñas de WordPress (todos los administradores)
  • Hosting/cPanel
  • SFTP/FTP
  • Base de datos (si está a tu alcance)

4) Revisa usuarios admin y elimina lo sospechoso

Si aparece un administrador que no creaste, no lo dejes “para después”. En muchos casos, ese usuario es el seguro del atacante.

Si este punto te pasó, te conviene publicar luego este satélite:
Usuarios admin desconocidos en WordPress.

5) Observa 24–48 horas

Si después de restaurar + actualizar + cambiar accesos, el sitio vuelve a redirigir o reaparece spam, no es mala suerte: es señal de puerta trasera o de contagio cruzado en el hosting. En ese caso, salta a la limpieza profunda.

Limpieza profunda (cuando no confías en backups o hay reinfección)

Esta ruta es más técnica, pero es la que de verdad corta reinfecciones. La idea no es “buscar cualquier archivo raro”, sino seguir un método: comparar, identificar, eliminar, validar y blindar.

1) Congela el estado actual (backup de evidencia)

Antes de borrar nada, guarda un snapshot. Esto te salva si:

  • rompes algo por error
  • necesitas comparar qué cambió
  • tu hosting te pide evidencia

2) Reinstala el core de WordPress desde fuente oficial

La forma más limpia (sin jugar a “borrar archivos”) es reemplazar el core por uno oficial:

  • Descarga WordPress desde la fuente oficial: wordpress.org/download
  • Reemplaza carpetas del core (wp-admin, wp-includes) por las oficiales.

No toques wp-content todavía (ahí vive el 80% de infecciones).

3) Audita wp-content con enfoque (donde se esconden de verdad)

En vez de “revisar todo”, empieza por los lugares más comunes:

  • wp-content/mu-plugins/ (muchos ni saben que existe; ideal para backdoors)
  • wp-content/plugins/ (plugins abandonados o nulled)
  • wp-content/themes/ (inyecciones en functions.php, header.php, footer.php)
  • wp-content/uploads/ (sí: a veces suben PHP camuflado como imagen o archivo)

Patrones típicos sospechosos:

  • archivos .php dentro de uploads (no deberían estar)
  • código ofuscado (bloques enormes ilegibles)
  • funciones raras con cadenas largas y decodificación
  • scripts JS inyectados en header/footer

Si detectas cadenas tipo base64 o scripts raros, este satélite te encaja perfecto:
Base64 JavaScript sospechoso.

4) Revisa el wp-config.php y “cosas que no deberían estar”

wp-config.php debería tener configuración, no “lógica extra”. Señales típicas:

  • líneas enormes añadidas arriba o abajo
  • includes a archivos externos/desconocidos
  • código que ejecuta cosas “en silencio”

Relacionado:
Malware en wp-config.php.

5) Revisa la base de datos: reinfección silenciosa

Muchos limpian archivos y se olvidan que la base de datos puede volver a inyectar código. ¿Dónde mirar primero?

  • wp_options: valores que cargan scripts o redirecciones
  • posts/postmeta: contenido con iframes o scripts ocultos
  • usuarios y capacidades (roles con permisos extraños)

Señal típica: limpias archivos, pero el sitio vuelve a inyectar scripts al recargar.

6) Validación: confirma que ya no hay comportamiento malicioso

  • Prueba el sitio en móvil y escritorio.
  • Prueba entrando desde Google (si antes redirigía “solo desde buscador”).
  • Revisa que no aparezcan nuevos admins.
  • Confirma que no existan tareas raras o comportamientos automáticos.

Blindaje mínimo para que no vuelva (lo que casi nadie hace completo)

1) Elimina plugins/themes que no uses (menos superficie = menos riesgo)

Si no lo usas, no debería existir en el servidor. Muchos ataques entran por un plugin olvidado.

2) Actualizaciones + contraseñas únicas + 2FA

Esto no es “consejo genérico”: en WordPress es literalmente la diferencia entre un incidente único y una reinfección mensual.

3) WAF/Firewall (si tu web recibe mucho tráfico o ataques)

Un WAF (por ejemplo, a nivel de CDN) puede frenar muchísimos intentos automáticos. Si ya estás en Cloudflare, este concepto te encaja con tu contenido:
WAF Cloudflare.

4) Checklist de 48 horas post-limpieza

  • Revisar usuarios admin (que no reaparezca ninguno raro).
  • Monitorear redirecciones y scripts inyectados.
  • Verificar que no se creen archivos nuevos “solos” en wp-content.
  • Confirmar que Search Console/hosting ya no marque malware (si aplicaba).

Lecturas internas recomendadas

Cuando me confirmes, el siguiente paso natural para este tema es crear un tercer bloque opcional (solo si lo quieres) con un checklist de hardening más técnico: permisos recomendados, bloqueo de endpoints comunes, limpieza de tareas programadas, y señales finas de backdoor/reinfección que los plugins a veces no detectan.

Refuerzo final: cómo blindar tu WordPress para que no vuelva el malware

Si ya limpiaste el sitio (o restauraste un backup limpio), este paso es el que marca la diferencia entre “lo resolví” y “me volvió a pasar”. La mayoría de infecciones repetidas no son magia: es la misma puerta abierta (plugin vulnerable, credenciales filtradas, permisos inseguros o una configuración que facilita el acceso).

Meta de este refuerzo: que aunque vuelvan a intentar entrar, el impacto sea mínimo y tú te enteres rápido.

1) Cambia llaves internas de WordPress (corta sesiones antiguas)

Además de cambiar contraseñas, WordPress tiene claves internas (AUTH/SECURE_AUTH, etc.) que, al rotarlas, invalidan cookies y sesiones antiguas. Es un golpe directo contra accesos “pegados”.

Tip práctico: rota estas llaves después de la limpieza, y luego obliga a todos los admins a cambiar su contraseña.

2) Revisa permisos y “lugares raros” donde se esconden

Si un atacante pudo escribir archivos en tu servidor, pudo dejar algo para volver. Estos son los puntos donde más se esconden porque casi nadie mira:

  • wp-content/mu-plugins/ (carga automática; ideal para persistencia)
  • wp-content/uploads/ (PHP camuflado)
  • wp-content/themes/ (inyecciones en header/footer/functions)

Si encuentras cadenas ofuscadas o base64, revisa esto:

3) Desactiva la edición de archivos desde el panel (reduce daño si roban una cuenta)

Si alguien entra al admin, lo primero que intenta es editar theme/plugin para inyectar código. Una práctica común es deshabilitar la edición desde el panel para limitar el daño.

Beneficio real: aunque alguien logre entrar, le cuesta mucho más convertirlo en malware persistente.

4) Limpia usuarios y aplica “mínimo privilegio”

Muchos sitios tienen 2–3 administradores “porque sí”. Eso aumenta el riesgo. Deja como admin solo a quien realmente lo necesita y convierte el resto a roles menores.

Si viste un admin raro o reaparecen, este artículo satélite es clave:

5) Actualizaciones con criterio (lo que más evita reinfección)

Esto no es “consejo genérico”: el malware en WordPress entra muchas veces por plugins viejos. Define una rutina simple:

  • Actualiza WordPress core y plugins cada semana o apenas salga un parche crítico.
  • Elimina plugins que no uses (desactivar no es suficiente).
  • Evita themes/plugins “nulled”. Si no hay presupuesto, usa alternativas gratuitas oficiales antes que piratas.

6) Protege el login y corta ataques automáticos

Muchos ataques no son “personas”, son bots probando contraseñas. Medidas útiles:

  • Contraseñas únicas + 2FA para administradores.
  • Limitación de intentos de login (plugin reputado o capa del hosting/WAF).
  • Si tu hosting lo permite: reglas para bloquear patrones obvios de fuerza bruta.

Si ya usas una capa de protección externa, esto lo complementa:

7) Revisa tareas programadas y reinfección silenciosa

Un truco común es dejar algo programado para “volver a inyectar” aunque limpies. Señales:

  • archivos que reaparecen
  • cambios nocturnos sin actividad humana
  • scripts que se insertan solos en el header/footer

Cuando publiques estos satélites, encajan perfecto aquí:

8) Si tienes WooCommerce: revisa el checkout (skimmer)

Si tu sitio vende, no te quedes solo con “ya no redirige”. Hay infecciones que solo atacan el checkout. Señales típicas:

  • scripts nuevos cargando en la página de pago
  • código extraño en theme o plugins relacionados al checkout
  • alertas del navegador o del proveedor de pagos

Checklist de 10 minutos (para saber si quedaste “limpio y firme”)

  • No hay usuarios admin desconocidos.
  • No hay archivos PHP en uploads ni mu-plugins raros.
  • Claves internas (salts) rotadas y contraseñas nuevas para admins.
  • Plugins no usados eliminados.
  • 2FA activo para administradores.
  • Capas anti-bot (limitación de intentos / WAF / hosting) aplicadas.
  • Monitor de cambios o alertas del hosting activas (si existe).

Si tu síntoma principal fueron redirecciones o spam en Google, refuerza con estos temas:

Publicado el

Pagos no autorizados en PayPal: qué hacer y cómo frenarlos rápido

pagos no autorizados paypal

Ver un pago en PayPal que tú no hiciste te pone en modo alerta inmediato (y con razón). En estos casos lo importante no es “buscar la causa perfecta” primero, sino detener más cargos, guardar evidencia mínima y usar la ruta oficial para reportarlo. Si lo haces en el orden correcto, aumentas muchísimo la probabilidad de que se resuelva a tu favor.

Lo que vas a lograr hoy:

  • Confirmar si el cargo es realmente no autorizado o si viene de una suscripción/pago automático.
  • Hacer un “freno de emergencia” para que no te sigan cobrando.
  • Quedar listo para reportarlo por el canal oficial (en el siguiente bloque) sin perder tiempo.

Regla #1: no llames a números que aparecen en correos/SMS, ni uses links raros. Cuando hay pagos no autorizados, es común que aparezcan “ayudas falsas” que te llevan a phishing.

Antes de reportar: identifica qué tipo de cargo es (te ahorra horas)

No todos los “cargos raros” son iguales. PayPal puede mostrar:

1) Un pago no autorizado (alguien compró con tu cuenta)

Normalmente verás una transacción a un comercio que no reconoces, o un envío de dinero a alguien desconocido. Esto suele venir de:

  • contraseña filtrada/reutilizada
  • phishing (diste tu clave en una web falsa)
  • correo comprometido (el atacante resetea accesos)

2) Un pago automático / suscripción que sigue cobrando

A veces no es “hackeo”, es un pago automático activado en el pasado (apps, servicios, pruebas gratis). Se siente como hackeo porque el cargo aparece solo.

Señal típica: el cargo se repite (mensual/anual) y tiene el mismo comercio.

3) Un cargo que en realidad viene de tu tarjeta, no de tu saldo PayPal

Hay casos en los que el movimiento aparece en tu banco y crees que es “PayPal”, pero la transacción real fue con tu tarjeta vinculada o con un procesador similar. Igual se puede reclamar, pero el camino cambia (PayPal vs banco).

Mini verificación (30 segundos): abre el detalle de la transacción y revisa si el “método de pago” fue saldo PayPal, tarjeta o cuenta bancaria. Eso define el mejor plan.

Freno de emergencia: evita que te sigan cobrando (en 10 minutos)

Si ya hubo 1 cargo no autorizado, tu prioridad es que no haya un segundo. Haz esto en orden:

1) Cambia tu contraseña de PayPal inmediatamente

No uses una contraseña “parecida” a la anterior. Hazla única. Si el atacante entró una vez, lo primero es cortar esa puerta.

Usa siempre el centro oficial de PayPal para entrar a tu cuenta (evita links de correos):
Iniciar sesión en PayPal (oficial).

2) Revisa si tu cuenta está “tomada” (señales rápidas)

  • ¿Tu correo principal fue cambiado?
  • ¿Hay teléfonos que no son tuyos?
  • ¿Hay direcciones nuevas?
  • ¿Te aparece como “cuenta nueva” o faltan datos que antes estaban?

Si algo de esto pasa, trata el caso como cuenta comprometida y usa esta guía interna para recuperar control:
PayPal hackeado: recuperar acceso y asegurar la cuenta.

3) Desactiva la fuente de cobros repetidos (si sospechas suscripción)

Si el cargo se repite o huele a “pago automático”, la estrategia no es solo reclamar: es cortar el acuerdo para que no siga cobrando.

Qué buscar: pagos automáticos, acuerdos, suscripciones activas con comercios que no reconozcas. (En el siguiente bloque te doy el paso a paso y los enlaces exactos del flujo oficial para reportar y cancelar correctamente.)

Qué NO hacer (porque te hace perder el caso)

  • No cierres el reclamo “por error” pensando que luego lo reabres. En muchas plataformas, cerrarlo reduce opciones.
  • No negocies con “soporte” por WhatsApp o Telegram. Si te piden códigos o acceso remoto, es estafa.
  • No asumas que “solo fue un pago” y ya. Si entraron, van a intentar repetir o usar tu cuenta para otras compras.

Guarda evidencia mínima (sin obsesionarte)

No necesitas armar un expediente gigante. Solo guarda lo esencial:

  • ID o detalle de la transacción
  • fecha y monto
  • comercio/usuario receptor (si aparece)

Esto te sirve si PayPal pide información adicional o si luego debes escalar con tu banco.

Enlaces internos recomendados

Cómo reportar un pago no autorizado en PayPal (ruta oficial y qué hacer según el caso)

Ahora que ya hiciste el “freno de emergencia”, toca lo que más importa: reportar el pago correctamente por el canal oficial. Esto evita vueltas, reduce errores y aumenta tus probabilidades de resolución.

Idea clave: no es lo mismo “disputa por un producto” que “transacción no autorizada”. Aquí vamos por no autorizado (cuando alguien usó tu cuenta o tu método de pago sin permiso).

Ruta oficial: entra al Centro de resoluciones (solo por canales oficiales)

Para reportar pagos no autorizados, PayPal centraliza el proceso en su Centro de resoluciones. Entra siempre desde el sitio oficial (no desde correos extraños):

Si no puedes abrirlo o te manda a otra pantalla, entra primero a tu cuenta desde:

Qué opción elegir para no equivocarte (y no perder tiempo)

Cuando selecciones la transacción, PayPal suele mostrar distintos motivos. Tu lógica debe ser esta:

  • Si tú NO hiciste el pago y no reconoces el comercio: elige “No autorizada” / “I didn’t make this purchase”.
  • Si tú compraste pero hay un problema con el producto: eso es disputa por artículo (no es el caso de este artículo).
  • Si es un cobro recurrente y tú lo olvidaste: probablemente es pago automático/suscripción (primero corta la suscripción y luego reclama si aplica).

Dato humano: mucha gente marca “producto no recibido” por impulso porque es lo primero que ve. Si tu caso es “no autorizado”, eso te hace perder tiempo y a veces te mete en el carril equivocado.

Si el cargo fue por suscripción/pago automático (lo que debes hacer sí o sí)

Cuando el cargo se repite o tiene pinta de “servicio”, tu prioridad es cortar el acuerdo. Si no lo cortas, aunque reclames, te pueden volver a cobrar.

Qué buscar dentro de PayPal: “pagos automáticos”, “suscripciones”, “acuerdos” o “preaprobados”. El nombre varía por país/idioma, pero la idea es siempre la misma: un comercio tiene permiso de cobrar.

Ruta oficial de ayuda para pagos automáticos (PayPal la actualiza por región):

Acción: si encuentras un comercio que no reconoces, cancélalo/revócalo. Luego vuelve al Centro de resoluciones para reportar el cargo.

Si el pago salió de una tarjeta vinculada: qué cambia

Esto es importante: PayPal puede ser “la plataforma”, pero el dinero puede haber salido de:

  • tu saldo PayPal
  • tu tarjeta vinculada
  • tu cuenta bancaria vinculada

Qué hacer:

  • Igual reporta en PayPal (Centro de resoluciones) porque la transacción se originó ahí.
  • Si fue con tarjeta y el caso se complica o hay riesgo de más cargos, avisa a tu banco y pide bloquear/reemplazar la tarjeta. No necesitas “hablar de hackeo”; solo di “cargos no reconocidos”.

Por qué esto importa: si el atacante tiene la tarjeta, puede intentar en otros sitios. Si el atacante solo tenía PayPal, al cambiar contraseña y asegurar cuenta, se corta.

Si ya no puedes entrar a PayPal (o te aparece como “cuenta nueva”)

Esto pasa cuando el atacante cambió el correo de acceso o los datos de recuperación. Aquí el flujo correcto es recuperar primero, porque sin acceso es difícil gestionar disputas y cancelar pagos automáticos.

Ve directo a tu guía interna:

Tip realista: si estás en un país donde el soporte telefónico es confuso, prueba con una central que sí responda y pide derivación. Por ejemplo, en algunos casos funciona llamar a España y pedir que te redirijan según tu región (esto depende de tu operador y de si permite llamadas internacionales).

Qué escribir en el reporte para que PayPal lo entienda rápido (plantilla humana)

No hace falta un texto largo. Un reporte corto, claro y cronológico suele funcionar mejor:

  • Qué pasó: “Detecté un pago no autorizado por [monto] a [comercio] el [fecha].”
  • Qué confirmas: “No realicé esta compra ni autoricé a nadie.”
  • Qué hiciste: “Ya cambié contraseña, cerré sesiones y estoy revisando pagos automáticos.”
  • Qué pides: “Solicito reverso del cargo y revisión por transacción no autorizada.”

Si hay varios cargos: repórtalos todos, pero ordénalos por fecha y monto para que se vea claro.

Después de reportar: revisa la “puerta trasera” (lo que evita que vuelva a pasar)

Muchos recuperan un pago… y luego vuelven a caer porque el problema original quedó vivo. Haz este chequeo:

  • Email: si tu correo está comprometido, PayPal es solo el inicio. Revisa tu Google/Gmail (códigos, accesos, recuperación).
  • Apps conectadas: elimina accesos raros a tu PayPal si aplica (y revisa suscripciones).
  • Phishing: si el “cobro” empezó después de un correo/SMS, revisa señales de estafa.

Lectura interna recomendada:

Checklist final (si lo hiciste todo, estás en buen camino)

  • Entraste al Centro de resoluciones por canal oficial.
  • Marcaste el motivo correcto: no autorizado.
  • Si era suscripción, revocaste/cancelaste el pago automático.
  • Si fue tarjeta, avisaste al banco si hay riesgo de más cargos.
  • Aseguraste tu cuenta (contraseña única + revisión de datos).
Publicado el

Publicidad emergente en Android: cuándo es virus y cómo quitarla

Publicidad emergente en Android

Si te están saliendo publicidades emergentes en tu Android (popups), aunque no estés navegando, es normal pensar “tengo un virus”. A veces sí es adware (malware de anuncios), pero muchas veces el culpable es algo más específico: notificaciones del navegador, una app recién instalada, un “launcher” raro o un permiso como Accesibilidad que le da control a una app.

Lo que vas a lograr aquí:

  • Identificar qué tipo de publicidad emergente tienes (sin suposiciones).
  • Saber si el origen es Chrome (notificaciones), una app o un permiso crítico.
  • Tomar una decisión rápida para limpiar en minutos (en el siguiente bloque).

Regla rápida: si los anuncios aparecen incluso en la pantalla de inicio o encima de otras apps, casi siempre hay una app culpable o un permiso abusado, no “un simple anuncio de Chrome”.

Por qué aparecen popups en Android: 4 causas principales

1) Notificaciones web (Chrome u otro navegador)

Este es el caso más común y “menos grave”: entraste a una web que te pidió Permitir notificaciones y lo aceptaste. Desde ahí, el sitio te manda anuncios como si fueran avisos del sistema. Se ven como alertas, pero en realidad son notificaciones del navegador.

Señal típica: los anuncios aparecen como notificaciones (barra superior), y al tocarlas te mandan a una web.

2) Adware dentro de una app (la app muestra anuncios encima de todo)

Esto pasa cuando instalas una app “gratis” (linterna, limpiador, fondos, teclado, “optimizador”) que trae adware. Ese adware puede abrir popups:

  • en la pantalla de inicio
  • al desbloquear el teléfono
  • cuando abres cualquier app

Señal típica: los anuncios aparecen “encima” de otras apps y a veces no se sabe de dónde vienen.

3) Permisos abusados (Accesibilidad / Administrador del dispositivo)

Cuando la publicidad viene acompañada de otras cosas raras (apps que se instalan solas, pantalla que toca sola, redirecciones constantes), hay que sospechar de permisos fuertes:

  • Accesibilidad (puede “tocar” por ti, leer pantalla, aceptar permisos)
  • Administrador del dispositivo (bloquea desinstalación y controla ajustes)

Señal típica: intentas desinstalar una app y no te deja, o vuelve a aparecer.

4) Launcher o aplicación “de pantalla de inicio” sospechosa

Algunos “launchers” o apps que modifican la pantalla de inicio pueden inyectar anuncios. A veces parecen personalización, pero en realidad viven para monetizar con popups.

Señal típica: cambió tu pantalla de inicio, tu buscador o tu navegador “por defecto” sin que lo pidieras.

Diagnóstico rápido: según dónde aparece el anuncio, la causa suele ser esta

Usa esta matriz como “radar”:

Si aparece como notificación (arriba) y te manda a un sitio web…

Más probable: notificaciones web del navegador (Chrome). No es un virus “del sistema”, pero sí es un acceso molesto que hay que cortar.

Si aparece a pantalla completa aunque no estés navegando…

Más probable: una app con adware o un permiso abusado (Accesibilidad/Administrador). Aquí sí conviene actuar como “infección por app”.

Si el anuncio aparece cuando desbloqueas el teléfono o al entrar al Home…

Más probable: app reciente o launcher sospechoso.

Si Chrome se abre solo o te redirige a páginas raras…

Más probable: notificaciones web + redirecciones (a veces también adware). Este contenido se complementa con:
Chrome se redirige solo en Android.

Señales “rojas” de que sí puede ser adware/malware (y no solo notificaciones)

  • Se instalaron apps que no recuerdas.
  • Tu celular se calienta, la batería dura menos o el consumo de datos subió sin explicación.
  • Ves anuncios en lugares donde antes nunca aparecían (pantalla de inicio, encima de WhatsApp, etc.).
  • Te pide permisos raros: Accesibilidad, Administrador del dispositivo, “mostrar sobre otras apps”.

Si reconoces esto, es buena idea revisar si hay apps ocultas o “sin icono”:
Aplicaciones ocultas en Android.

Qué NO hacer (porque empeora el problema)

  • No instales el “antivirus” que te recomienda el popup. Es el truco clásico.
  • No aceptes permisos por urgencia (“Permitir para continuar”).
  • No pagues por una supuesta “protección inmediata” desde un anuncio.

La decisión inteligente: primero identificas si es navegador o app, y luego limpias con el orden correcto (eso viene en el siguiente bloque).

Enlaces internos recomendados (para completar tu diagnóstico)

Siguiente paso: en el siguiente bloque hacemos la limpieza práctica: cómo cortar notificaciones spam, encontrar la app culpable, revisar permisos críticos (Accesibilidad/Administrador) y ejecutar Play Protect para que la publicidad emergente no vuelva.

Cómo quitar la publicidad emergente en Android (pasos en el orden correcto)

Ahora vamos a lo práctico. La clave para que esto funcione es seguir el orden: primero cortas la fuente “fácil” (notificaciones), luego detectas la app culpable, y recién ahí haces limpieza y refuerzo. Si te saltas pasos, el problema suele volver.

Objetivo: que no vuelvan a aparecer anuncios emergentes ni redirecciones, y que tu Android quede con defensas activas (sin instalar “antivirus milagro”).

1) Corta las notificaciones web (la causa #1 de anuncios “tipo virus”)

Muchos popups que parecen “virus” son notificaciones permitidas a un sitio basura. En Chrome, la solución es quitar permisos de notificaciones y limpiar sitios sospechosos.

Google explica cómo gestionar notificaciones y pop-ups en Chrome. Úsalo como referencia oficial:

Acción práctica (sin capturas):

  • Entra a la configuración de Chrome → “Notificaciones” / “Permisos del sitio”.
  • Elimina cualquier sitio que no reconozcas o que suene a “premio/alerta/seguridad”.
  • Si tienes dudas, deja notificaciones web desactivadas para sitios no esenciales.

Señal de éxito: si la publicidad solo era notificación web, debería bajar drásticamente en minutos.

2) Encuentra la app culpable (el truco más rápido: “instaladas recientemente”)

Cuando los anuncios aparecen encima de todo, casi siempre hay una app instalada recientemente que lo provocó. En vez de buscar una por una, usa esta lógica:

  • Piensa: ¿qué instalé el día que empezó todo?
  • Revisa apps con nombres genéricos: Cleaner, Booster, Security, Wallpaper, Keyboard, VPN “gratis”.
  • Desconfía de apps que no recuerdas haber instalado.

Acción: elimina 1–2 sospechosas, reinicia y observa. Si el problema se detiene, encontraste la fuente.

Si sientes que “aparecen apps solas”, revisa esto también:
Apps se instalan solas.

3) Revisa permisos que permiten “anuncios encima de todo”

Hay un permiso que vuelve locos a muchos: el de “Mostrar sobre otras apps”. Es el permiso que permite que una app ponga una ventana flotante encima de cualquier cosa (ideal para adware).

Acción: entra a Ajustes → Apps → Acceso especial (o similar) y revisa:

  • Mostrar sobre otras apps (desactiva a apps que no lo necesitan)
  • Accesibilidad (si una app rara está activada, es señal roja)
  • Administrador del dispositivo (si una app rara está activa, puede impedir desinstalar)

Si quieres profundizar en Accesibilidad (causa de muchos “comportamientos automáticos”):
Permiso de accesibilidad: cuándo es virus.

4) Bloquea instalaciones por APK (para evitar reinfección)

Si el adware/malware entró por un APK o una descarga desde el navegador, es clave cerrar esa puerta:

  • Busca “Instalar apps desconocidas”.
  • Revisa quién tiene permiso (Chrome, gestor de archivos, apps de descargas).
  • Desactívalo en todo lo que no sea estrictamente necesario.

Señal de reinfección típica: desinstalas algo, pero vuelven anuncios al día siguiente porque el navegador o una app puede seguir instalando cosas.

5) Ejecuta Play Protect (la verificación oficial integrada)

En vez de instalar cualquier “antivirus” recomendado por un popup, usa primero la defensa integrada de Google: Play Protect. Puede detectar apps dañinas y avisarte.

Acción: abre Play Protect y ejecuta un escaneo. Si marca una app como dañina, elimínala.

Si Play Protect “no funciona” o está desactivado, eso merece revisión:
Play Protect no funciona.

6) Si no se arregla: Modo Seguro (para eliminar apps que se “defienden”)

Cuando una app maliciosa evita que la desinstales o reaparece, el Modo Seguro suele ser el camino más rápido porque desactiva apps de terceros temporalmente.

Qué haces:

  • Reinicia en Modo Seguro (varía por marca, pero suele salir manteniendo presionado “Apagar”).
  • Con Modo Seguro activo, desinstala la app sospechosa.
  • Reinicia normal y observa si los popups desaparecieron.

Señal clara: si en Modo Seguro no hay anuncios, confirmas que era una app (no el sistema).

7) Limpieza final: cache/datos del navegador (si hubo redirecciones)

Si además de popups tienes redirecciones raras, conviene limpiar datos del navegador y revisar extensiones/ajustes. En Android, esto suele cortar rastros de sitios abusivos.

Relacionado dentro del sitio:

Checklist final: cómo saber si ya quedó resuelto

  • Ya no aparecen anuncios emergentes fuera del navegador.
  • No hay sitios raros permitidos en notificaciones web.
  • No hay apps nuevas “misteriosas”.
  • Permisos críticos (Accesibilidad / Mostrar sobre otras apps / Administrador) están limpios.
  • Play Protect escanea normal.

Lecturas internas recomendadas

Publicado el

Código de verificación de Google que no pedí: qué significa y qué hacer ahora

Código de verificación de Google que no pedí

Te llega un SMS o correo con un código de verificación de Google y tú no hiciste nada. En ese momento uno piensa: “ya me hackearon”. A veces sí es un intento real, pero otras veces es algo más simple (y aun así conviene actuar). La clave es no entrar en pánico y hacer un diagnóstico rápido para bloquear el acceso antes de que el atacante tenga oportunidad.

Lo que vas a lograr en menos de 5 minutos:

  • Entender por qué llegó ese código (sin teorías raras).
  • Identificar si es un intento real de hackeo o una verificación legítima que se disparó sola.
  • Saber qué acciones tomar hoy (sin capturas, con enlaces oficiales) para proteger tu cuenta.

Regla de oro: nunca compartas ese código con nadie. Ni “soporte”, ni “seguridad”, ni “verificación”. El código es literalmente la llave para entrar.

Qué significa un código de Google que tú no pediste (3 escenarios reales)

Escenario 1: alguien tiene tu contraseña y está intentando entrar

Este es el caso más común cuando el código llega justo después de intentos repetidos. Si alguien ya conoce tu contraseña, Google pide una segunda prueba (el código). Si el atacante no lo tiene, se queda afuera… por ahora. El riesgo es que siga intentando con recuperación de cuenta o con “fatiga” (insistirte hasta que aceptes algo).

Escenario 2: alguien está intentando recuperar tu cuenta (y el código es parte del proceso)

Cuando un atacante no logra iniciar sesión, el siguiente paso suele ser “recuperación”. En algunos flujos, Google envía códigos o alertas para verificar que realmente eres tú. Si te llegan códigos “de la nada”, hay que considerar esto como una posibilidad.

Escenario 3: un inicio de sesión legítimo se disparó sin que lo notes

Esto pasa más de lo que parece: un dispositivo viejo intenta sincronizar, una app vuelve a pedir acceso, o tú mismo hiciste un login en otra pestaña y no lo recuerdas. Aun así, si no estás 100% seguro, lo correcto es actuar como si fuera riesgo moderado y verificar actividad.

Señales “rojas” vs “amarillas” para saber si es peligro real

Señales rojas (actúa como si ya estuvieran intentando entrar)

  • Te llegan muchos códigos seguidos (en minutos).
  • Recibes un aviso de “intento de acceso” desde una ubicación/país que no es el tuyo.
  • De repente pierdes acceso o te pide iniciar sesión otra vez en varios dispositivos.
  • Notas cambios: correo/telefono de recuperación modificados, o sesiones abiertas que no reconoces.

Señales amarillas (podría ser ruido, pero igual verifica)

  • Un solo código y no vuelve a repetirse.
  • Justo estabas instalando una app o entrando a un servicio con Google.
  • Te aparece después de cambiar contraseña o actualizar tu teléfono.

Consejo práctico: si no puedes confirmar que fue tuyo, trátalo como rojo. Verificar y asegurar tu cuenta te toma menos que arreglar una cuenta robada.

Qué NO hacer (los errores que convierten esto en un hackeo)

  • No ingreses el código en links de mensajes raros o correos con urgencia. Ese es el phishing clásico.
  • No respondas a nadie con el código (ni “amigos”, ni “soporte”, ni “tu operador”).
  • No te confíes si el mensaje “parece de Google”. Los atacantes copian el formato perfecto.

Si quieres un refuerzo rápido para entender estas trampas, INCIBE tiene guías claras de phishing y suplantación (es un recurso serio y directo):
Guía de phishing (INCIBE).

La verificación oficial que deberías hacer (aunque sea un solo código)

En vez de “buscar en foros”, usa los paneles oficiales de Google. Ahí puedes ver si hubo intentos, dispositivos conectados y actividades extrañas.

Lo que estás buscando ahí: dispositivos que no son tuyos, inicios de sesión recientes, métodos de recuperación cambiados y accesos de apps que no reconoces.

Enlaces internos recomendados (para completar el camino)

Qué hacer si te llegó un código de Google que no pediste (pasos exactos para asegurar tu cuenta)

Ahora sí, vamos con el plan práctico. La meta es simple: cerrar cualquier puerta abierta y dejar tu cuenta en un estado donde aunque alguien tenga tu contraseña, no pueda entrar. Hazlo en este orden (está pensado para minimizar riesgos).

Antes de empezar: si sospechas que tu celular está comprometido (apps raras, anuncios, comportamiento extraño), haz estos pasos desde otra PC/teléfono confiable. Cuando uno está “en duda”, esa pequeña decisión marca la diferencia.

1) Revisa si hubo intentos reales con el Chequeo de seguridad oficial

Abre el Security Checkup y revisa 3 cosas: dispositivos, actividad y métodos de recuperación.

  • Security Checkup (oficial):
    Abrir

Qué revisar ahí (sin perderte):

  • Tus dispositivos: ¿aparece un Android/iPhone/PC que no reconoces?
  • Actividad reciente: ¿hay intentos desde lugares u horarios raros?
  • Acceso de terceros: ¿hay apps conectadas que no recuerdas?

Si ves algo raro: elimínalo/cierra sesión desde ahí inmediatamente y pasa al paso 2.

2) Cambia la contraseña (pero hazlo bien)

Si el código llegó porque alguien probó tu contraseña, cambiarla corta el intento. Pero el “cómo” importa.

  • Usa una contraseña única (no la reciclas de Facebook/PayPal/otro sitio).
  • Evita patrones obvios (nombre, fecha, repeticiones).
  • Si la contraseña anterior estaba en varias webs, asume que vino por filtración (reutilización).

Si Google detecta compromiso, este flujo oficial te guía para recuperar/asegurar:
Cuenta comprometida (Google).

3) Cierra sesiones en todos los dispositivos (el paso que muchos se saltan)

Este es el paso silencioso que realmente corta al atacante si ya había iniciado sesión en algún lugar:

  • En la sección de dispositivos del Security Checkup, cierra sesión en los que no reconozcas.
  • Si tuviste duda real, cierra sesión en todos y vuelve a entrar solo en los tuyos.

Por qué importa: cambiar contraseña no siempre expulsa sesiones activas inmediatamente en todos los casos. Cerrar sesiones es el “cierre del cerrojo”.

4) Refuerza el segundo factor: 2FA o (mejor) passkeys

Si alguien ya estaba intentando entrar, lo siguiente es ponérselo difícil. Google ofrece varias opciones seguras. Si puedes, prioriza:

  • Passkeys (cuando esté disponible para ti): suele ser más resistente al phishing que SMS.
  • Google Prompt (notificación en un dispositivo confiable).
  • App de autenticación (códigos que no dependen de SMS).

La página oficial de seguridad de cuenta de Google te guía según tu configuración:
Ayuda oficial: seguridad de Google Account.

Evita depender solo de SMS si estás recibiendo códigos que no pediste. SMS funciona, pero es el método más vulnerable si hay riesgo de SIM swapping.

5) Revisa (y corrige) tus métodos de recuperación

Muchos ataques no buscan entrar por login: buscan tomar tu cuenta por recuperación. Revisa que:

  • el correo de recuperación sea tuyo
  • el número de teléfono sea tuyo
  • no haya correos/números extraños agregados

Si te cambiaron algo y ya no reconoces tu cuenta, usa el flujo de recuperación oficial:
Recuperar tu cuenta (Google).

6) Busca accesos de “apps conectadas” que no reconozcas

Esto es clave: a veces el atacante no entra “como tú”, sino que deja conectada una app de terceros (una puerta trasera elegante). En el Security Checkup revisa:

  • apps con acceso a Gmail
  • apps con acceso a Drive
  • servicios que no recuerdas autorizar

Acción: revoca acceso a todo lo que no sea 100% tuyo. Si luego te hace falta, lo vuelves a conectar, pero ya desde un entorno seguro.

7) Si sospechas SIM swapping (cuando el atacante intenta robar tu línea)

Esto es menos común, pero cuando pasa es serio. Señales típicas:

  • tu teléfono pierde señal de repente (“solo emergencia”) sin motivo
  • dejas de recibir SMS/llamadas
  • alguien está intentando entrar a varias cuentas que usan tu número

Qué hacer: contacta a tu operador y pide reforzar seguridad de la línea (PIN/clave de portabilidad). No necesitas explicar “hacking”: solo di que quieres bloquear cambios no autorizados en tu SIM y en tu portabilidad.

8) Si te sigue llegando el código: qué significa y cómo detenerlo

Si después de asegurar la cuenta sigues recibiendo códigos, normalmente significa una de estas dos cosas:

  • Alguien sigue intentando loguearse (pero ya no puede).
  • Una app/dispositivo viejo tuyo está intentando entrar con credenciales antiguas.

Acción: vuelve al Security Checkup y revisa “dispositivos” y “apps conectadas”. Cierra lo que no reconozcas. Si todo es tuyo, cambia contraseña una vez más (por si tu contraseña estuvo filtrada y se sigue probando de forma automática).

Checklist final (la versión “ya estoy seguro”)

  • Pasaste Security Checkup y no hay dispositivos extraños
  • Cambiaste contraseña por una única
  • Cerraste sesiones en equipos que no reconoces (o en todos)
  • Tienes 2FA fuerte (ideal: passkeys o app autenticadora)
  • Revisaste correo/teléfono de recuperación
  • Revocaste apps conectadas sospechosas

Lecturas internas recomendadas

Publicado el

Calendario virus en iPhone: qué es, por qué aparece y cómo eliminarlo

calendario virus iphone

Si tu iPhone te está mostrando eventos raros en el Calendario tipo “Tu iPhone tiene virus”, “Gana un premio”, “Protección urgente” o notificaciones insistentes cada cierto tiempo, respira: en la mayoría de casos no es un virus “dentro” del iPhone. Lo más común es que aceptaste (sin darte cuenta) una suscripción de calendario desde una web engañosa, y ahora tu iPhone solo está mostrando esos eventos spam.

Lo que vas a lograr aquí:

  • Identificar si lo tuyo es spam por suscripción de calendario (lo más común) o si hay señales de algo más serio.
  • Aprender las señales exactas que diferencian “calendario infectado” vs “cuenta comprometida”.
  • Quedarte con un diagnóstico claro para eliminarlo rápido en el siguiente bloque (sin capturas, pero con pasos precisos).

Nota importante: no instales apps desde enlaces de esos eventos. Ese es el siguiente paso del engaño. Apple recomienda eliminar el calendario sospechoso o la suscripción.
Guía oficial de Apple: borrar calendarios y eventos no deseados.

Qué es realmente el “virus del calendario” en iPhone

En la mayoría de casos, no es malware: es un calendario suscrito (o una cuenta) que te mete eventos spam. Es decir, tu iPhone no “se infectó”; simplemente está recibiendo eventos desde una fuente externa, como si fuera un calendario compartido.

Apple incluye instrucciones para eliminar o darte de baja de calendarios suscritos desde la app Calendario o desde Ajustes, precisamente porque este problema es frecuente.
Ver instrucciones oficiales.

Cómo se “pega” el calendario spam (lo que la gente suele hacer sin darse cuenta)

  • Abrir una web con popups y tocar “Aceptar” o “Permitir” para ver un contenido.
  • Entrar a un enlace desde redes/WhatsApp que te promete premio, cupón, actualización o “limpieza”.
  • Confundir una solicitud de suscripción con un aviso normal del navegador.

Por eso se siente como virus: porque los mensajes llegan “desde tu propio Calendario”, que normalmente es una app confiable.

Señales claras de que es spam por Calendario (y no un hack real)

  • Los eventos tienen títulos tipo “Virus detectado”, “iPhone vulnerable”, “Activa protección”, “Claim reward”.
  • Aparecen en bloques repetidos (cada día, cada hora, o cada semana) como si fueran recordatorios programados.
  • Si entras al evento, te sugiere tocar un enlace (ese enlace es la trampa).
  • El resto del iPhone funciona “normal”: no se reinicia solo, no instala apps solo, no cambia configuraciones.

Regla rápida: si el problema vive dentro de “Calendario” (eventos y notificaciones) y no hay otros síntomas, es muy probable que sea suscripción spam.

Señales de que puede ser algo más serio (poco común, pero importante)

Ojo: esto no es para asustarte, es para que sepas cuándo escalar la respuesta. Si además de eventos spam notas:

  • Tu Apple ID te avisa de inicios de sesión que no reconoces
  • Cambios de contraseña que tú no pediste
  • Dispositivos desconocidos vinculados a tu cuenta
  • Redirecciones raras constantes en Safari o popups que no paran incluso con bloqueos

Entonces conviene pensar en cuenta comprometida o en un problema de navegador/perfiles (lo vemos en el siguiente bloque como parte del plan de limpieza).

Por qué estos “eventos” son tan peligrosos (la psicología del engaño)

El objetivo del calendario spam casi nunca es “molestarte”. Es llevarte a una de estas trampas:

  • Phishing: que ingreses tu Apple ID o datos en una web falsa.
  • Suscripciones/estafas: que pagues por una supuesta “protección”.
  • Instalación de apps: que instales algo que no necesitas (o que robe datos).

Por eso lo más inteligente es no interactuar con el evento y eliminar el origen (suscripción/calendario).

Qué NO hacer (porque te deja más expuesto)

  • No toques los enlaces dentro del evento.
  • No llames a números que aparezcan en el evento o en la web (suelen ser “soporte” falso).
  • No instales perfiles, VPNs o apps “protectoras” recomendadas por esa alerta.
  • No des tu tarjeta para “verificar seguridad”.

Enlaces internos recomendados (para completar el diagnóstico)

Siguiente paso: en el siguiente bloque te doy el plan exacto para eliminar el calendario spam (suscripción/cuenta), detener notificaciones y reforzar Safari con ajustes oficiales de Apple para que no vuelva.

Cómo quitar el “virus del calendario” en iPhone y evitar que vuelva

Vamos a resolverlo sin rodeos. El objetivo es eliminar el calendario/suscripción que está generando esos eventos y luego cerrar las puertas típicas por donde vuelve: popups, notificaciones web y permisos raros. Apple tiene guías oficiales para eliminar calendarios no deseados, así que aquí lo hacemos con pasos claros y verificables.

Antes de empezar: no borres tu calendario personal completo “por desesperación”. Primero vamos a identificar cuál es el calendario spam y eliminar solo ese.

1) Identifica el calendario que está generando los eventos spam

Abre uno de los eventos raros (sin tocar enlaces) y busca si aparece algo como:

  • un nombre de calendario que no reconoces
  • una cuenta o suscripción asociada
  • un color o etiqueta distinta

Normalmente el spam viene de un calendario nuevo agregado recientemente. Apple recomienda eliminar el calendario o la suscripción desde Calendario o Ajustes.
Apple: Remove spam calendars and events.

2) Elimina el calendario spam desde la app Calendario

En iPhone, la forma más común de limpiarlo es desde Calendario:

  • Abre Calendario.
  • En la parte inferior, entra a Calendarios.
  • Busca un calendario que no reconozcas (a veces tiene un nombre raro o genérico).
  • Tócalo y elige Eliminar calendario o Eliminar suscripción (según lo que te muestre).

Verificación rápida: al eliminarlo, los eventos spam deberían desaparecer de golpe (o dejar de aparecer).

Guía oficial de Apple (recomendado mantenerla como referencia):
Apple: cómo borrar calendarios y eventos no deseados.

3) Si no aparece como “calendario”, elimínalo desde Ajustes (cuentas o suscripciones)

En algunos casos, el spam entra como una suscripción o como una cuenta agregada. Para esos casos:

  • Ve a Ajustes.
  • Entra a Calendario o a Cuentas (depende de versión de iOS).
  • Busca Cuentas o Calendarios suscritos.
  • Elimina la suscripción o cuenta que no reconozcas.

Tip: si ves una cuenta que no es tu iCloud, Gmail o la que usas normalmente, desconfía. El calendario spam a veces “vive” dentro de una cuenta agregada solo para inyectar eventos.

4) Corta el canal que lo provoca: bloquea popups y revisa notificaciones del navegador

Muchos casos empiezan en Safari por una web que empuja permisos y luego “engancha” la suscripción. Para reforzar:

4A) Bloquea ventanas emergentes en Safari

  • Ve a AjustesSafari.
  • Activa Bloquear ventanas emergentes.

Apple explica ajustes de Safari y control de popups como parte de la protección ante sitios molestos/engañosos.
Apple: limpiar historial y datos de navegación.

4B) Revisa si Safari tiene sitios con permisos raros

Si tu problema vino por un sitio específico, lo más efectivo suele ser limpiar datos del sitio (cache/historial). Apple lo cubre oficialmente aquí:

Importante: esto puede cerrar sesiones en algunas webs (por ejemplo, tendrás que volver a iniciar sesión), pero es una forma rápida de cortar rastros del sitio que te empujó el spam.

5) Revisa perfiles o VPNs desconocidos (solo si ves cosas “extra”)

Esto no aplica a todos, pero si además de calendario spam tu iPhone se comporta raro (redirecciones constantes, configuración cambiada), revisa si hay perfiles o VPNs que no recuerdas haber instalado. Un perfil malicioso puede alterar comportamiento de navegación.

Si no usas perfiles para trabajo/escuela, cualquier perfil desconocido es sospechoso.

6) Si te preocupa tu Apple ID: revisa seguridad de cuenta (enlace oficial)

Si llegaste a tocar enlaces, ingresaste credenciales, o sospechas que tu cuenta pudo estar expuesta, refuerza tu Apple ID:

  • Cambia contraseña.
  • Activa/asegura la verificación en dos pasos.
  • Revisa dispositivos conectados.

Apple centraliza la seguridad de cuenta aquí:
Apple ID Support.

Checklist final: cómo saber si ya quedó limpio

  • Los eventos raros desaparecieron del Calendario.
  • Ya no llegan notificaciones spam.
  • No existe el calendario/suscripción sospechosa en la lista de calendarios.
  • No vuelven a aparecer eventos nuevos “solos” en las siguientes 24–48 horas.

Si vuelve a aparecer: normalmente significa que todavía existe una suscripción/cuenta activa o que estás entrando a la misma web que te lo “instaló”. Repite los pasos de eliminación y refuerza Safari (bloqueo de popups + limpieza de datos).

Lecturas relacionadas dentro del sitio

Publicado el

Permiso de accesibilidad en Android: cuándo es virus y cómo proteger tu celular

permiso accesibilidad virus

Si una app te pidió Accesibilidad para “limpiar”, “optimizar”, “acelerar el teléfono”, “proteger” o “quitar anuncios”, detente un segundo: ese permiso puede convertir una app común en algo con capacidad de control. No significa que siempre sea malware, pero sí es una de las señales más repetidas cuando alguien termina con apps que se instalan solas, pantalla que toca sola o incluso robo de cuentas.

Lo que vas a lograr aquí:

  • Entender en simple qué permite el permiso de Accesibilidad y por qué es tan sensible.
  • Aprender a distinguir apps legítimas vs apps sospechosas que abusan de este permiso.
  • Identificar señales de riesgo para decidir rápido si debes desactivarlo ya y pasar a limpieza (bloque siguiente).

Regla rápida: si una app “de limpieza” o “antivirus” que no conoces te pide Accesibilidad, trátalo como alto riesgo hasta comprobar lo contrario.

Qué es el permiso de Accesibilidad (explicado sin tecnicismos)

La Accesibilidad existe para ayudar a personas con discapacidad (por ejemplo, lectores de pantalla). El problema es que, dependiendo del servicio, puede permitir cosas como:

  • Leer lo que aparece en pantalla (incluyendo textos de otras apps).
  • Pulsar botones por ti (tocar “Aceptar”, “Instalar”, “Permitir”).
  • Navegar dentro de otras apps como si fuera tu mano.
  • Observar acciones y reaccionar (por ejemplo, cuando llega un código o un permiso).

Por eso, aunque Accesibilidad tiene usos legítimos, también es un permiso que los atacantes intentan conseguir para automatizar acciones “en tu nombre”. Play Protect existe precisamente para ayudar a detectar apps riesgosas, y es recomendable tenerlo activo como defensa integrada.
Guía oficial de Google Play Protect.

Por qué un virus quiere Accesibilidad (y qué puede hacer con eso)

Cuando un malware consigue Accesibilidad, puede intentar:

  • Instalar apps sin que lo notes (o empujarte a instalarlas con “clics” automáticos).
  • Activar permisos peligrosos (administrador del dispositivo, notificaciones, etc.).
  • Interferir con tu navegación (redirecciones, popups, anuncios fuera de lugar).
  • Facilitar robo de cuentas al observar pantallas sensibles o ayudarte a caer en pantallas falsas.

Esto no es teoría: hay análisis públicos de malware que abusa de servicios de Accesibilidad para ejecutar acciones y controlar el flujo en el dispositivo.
Caso documentado por Zscaler.

Lo importante: el malware no necesita “hackear Android” como en películas. A veces solo necesita que tú mismo le des el permiso correcto.

Señales de alerta: cuándo Accesibilidad es sospechosa

Si se cumple 1 de estas, ya es motivo para desconfiar. Si se cumplen 2 o más, actúa como si fuera malware.

  • La app no es conocida (no recuerdas haberla instalado o viene de un enlace).
  • La app tiene nombre genérico: Cleaner, Booster, Security, Update, Optimizer.
  • Te presiona con urgencia: “Virus detectado”, “tu teléfono está en riesgo”, “instala ahora”.
  • Empezaron síntomas raros después de activarlo: anuncios, apps nuevas, calentamiento, datos altos.
  • La app no se deja desinstalar o reaparece.
  • La app aparece sin icono o “se esconde” del menú.

Checklist rápido: app legítima vs app sospechosa

Usa esta comparación para decidir en 30 segundos.

Más probable legítima si…

  • Es una app claramente conocida y confiable (por ejemplo, un lector de pantalla real, herramientas de accesibilidad del sistema).
  • El permiso tiene sentido para su función (ej.: lector de pantalla necesita leer la pantalla).
  • No te muestra anuncios agresivos ni mensajes de urgencia.

Más probable sospechosa si…

  • Te promete “limpiar virus”, “acelerar”, “mejorar batería” y pide Accesibilidad.
  • Te apareció tras abrir un enlace (WhatsApp/SMS/Telegram) o una web que asustaba.
  • Al activarlo, el celular empezó con comportamientos automáticos (instalaciones, toques, permisos).

Regla: si no puedes explicar con lógica por qué esa app necesita Accesibilidad, lo más seguro es que no debería tenerla.

Matriz rápida: síntoma → qué revisar primero

  • Apps se instalan solas → Accesibilidad + “instalar apps desconocidas”.
    Guía completa
  • Play Protect desactivado o “no funciona” → posible manipulación de seguridad.
    Qué revisar
  • Apps ocultas / no aparecen en el menú → posible spyware/adware.
    Cómo encontrarlas

Qué NO hacer si una app te pide Accesibilidad

  • No la actives “para probar”. Ese es el punto de no retorno en muchos casos.
  • No instales otra app desde la misma ventana o el mismo enlace “para solucionar”.
  • No metas contraseñas sensibles si ya hay síntomas (mejor cambia claves desde otro dispositivo primero).

Cómo desactivar Accesibilidad de forma segura y limpiar tu Android (sin caer en “antivirus” trampa)

Si llegaste hasta aquí es porque hay una app con Accesibilidad que no te cuadra o porque ya tienes síntomas (apps que aparecen solas, anuncios raros, toques fantasma). Vamos a hacer esto con orden para que no se vuelva un “loop”:

  • Cortar control (Accesibilidad + Administrador del dispositivo).
  • Bloquear instalaciones (apps desconocidas / APK).
  • Eliminar el origen (desinstalar y verificar).
  • Proteger cuentas si hubo señales de robo.

Tip realista: en la mayoría de casos, el malware depende de Accesibilidad para mantenerse. Cuando se la quitas, pierde fuerza y se vuelve mucho más fácil desinstalarlo.

1) Corta el permiso de Accesibilidad (primero, antes de desinstalar)

Entra a Ajustes y busca Accesibilidad. Luego revisa los Servicios instalados (o “Apps descargadas” dentro de Accesibilidad, depende del modelo). Desactiva cualquier servicio que:

  • no recuerdes haber activado
  • tenga nombre genérico (Cleaner, Booster, Security, Update)
  • haya sido activado justo cuando empezaron los síntomas

Si te da miedo apagar algo: apaga solo el que no reconozcas. Si tu celular vuelve a comportarse normal (menos anuncios / menos instalaciones raras), ya confirmaste la causa.

Importante: si la app vuelve a activarse sola, es señal de que tiene otro permiso fuerte (Administrador del dispositivo) o que hay más de una app involucrada.

2) Revisa “Administrador del dispositivo” (la traba que impide desinstalar)

Muchos malware se ponen como Administrador del dispositivo para evitar que los elimines. Busca en Ajustes algo como:

  • “Apps de administrador del dispositivo”
  • “Administración del dispositivo”
  • “Administradores del dispositivo”

Si ves una app rara con permisos de administrador, desactívala. Esto suele ser el paso que desbloquea la desinstalación.

3) Bloquea la instalación por APK (para que no se reinfecte)

Si el atacante logra que tu teléfono instale apps fuera de Play Store, la reinfección es fácil. Por eso conviene cerrar esta puerta antes de seguir.

Busca “Instalar apps desconocidas” (a veces está en Seguridad o Apps especiales) y revisa quién tiene permiso:

  • Chrome / navegador
  • Gestor de archivos
  • Apps de descargas
  • Mensajería (según modelo)

Acción: apaga ese permiso en todo lo que no sea estrictamente necesario. Para la mayoría de personas, debería estar apagado siempre.

4) Usa Google Play Protect como verificación (oficial, sin “apps milagro”)

Play Protect es la defensa integrada de Google que analiza apps dañinas y ayuda a prevenir instalaciones riesgosas. Úsalo como parte del chequeo:

Acción: ejecuta un escaneo. Si marca una app como dañina, desinstálala. Si Play Protect está “apagado” o no funciona, es un indicador a revisar.

Contenido relacionado dentro del sitio:

5) Desinstala el origen (y revisa “instaladas recientemente”)

Una vez cortaste Accesibilidad y permisos de administrador, la app sospechosa suele dejarse eliminar.

Cómo encontrar la culpable más rápido:

  • Revisa tu lista de apps y ordena mentalmente: ¿qué instalaste el día que empezó todo?
  • Busca apps con nombres genéricos o sin desarrollador conocido.
  • Desconfía de apps que “parecen sistema” pero no lo son.

Hazlo con lógica: elimina 1–2 sospechosas, reinicia y observa si el comportamiento se detiene. Si desaparece el síntoma, ya encontraste al origen.

6) Si no se deja desinstalar: Modo Seguro (la jugada que desbloquea todo)

Cuando una app maliciosa “se defiende” (se cierra el menú, vuelve a aparecer, o no deja desinstalar), el Modo Seguro suele ser la forma más rápida de tomar control sin aplicaciones adicionales.

  • Reinicia en Modo Seguro (varía por marca; normalmente se activa desde el menú de apagado).
  • Con Modo Seguro activo, intenta desinstalar la app sospechosa.
  • Reinicia normal y verifica si se detuvieron instalaciones/anuncios.

Señal clara: si en Modo Seguro el problema desaparece, confirma que el culpable era una app de terceros.

7) Si hubo señales de robo de cuentas, actúa como si ya hubieran visto tus claves

Este punto es importante: muchas familias se enfocan solo en “quitar anuncios”, pero el objetivo real puede ser robo de cuentas o fraude. Si notaste:

  • códigos de verificación que no pediste
  • sesiones activas raras
  • intentos de login
  • apps bancarias nuevas o pantallas “iguales” pero sospechosas

Acción mínima recomendada:

  • Cambia tu contraseña de Google desde otro dispositivo.
  • Activa 2FA.
  • Cierra sesiones en servicios importantes (correo, redes, banca).

8) Último recurso: restablecer (si el problema vuelve o hay reinfección)

Si después de cortar Accesibilidad, bloquear APKs y eliminar apps, el problema vuelve, puede haber reinfección persistente. En ese caso, el restablecimiento es lo más confiable.

La clave para que funcione: después de resetear, no reinstales la misma app sospechosa ni restaures “todo” sin revisar. Ese es el error que trae el virus de vuelta.

Checklist final: cómo saber si ya estás limpio

  • Accesibilidad no tiene servicios raros activos
  • No hay administradores desconocidos
  • “Instalar apps desconocidas” está apagado
  • Play Protect escanea normal
  • No aparecen apps nuevas sin permiso
  • No hay anuncios fuera del navegador

Si quieres seguir con la ruta más efectiva dentro del silo Android: