Cuando alguien dice he sido hackeado, yo lo traduzco en una secuencia de acciones concretas: cortar accesos, revisar sesiones y proteger el móvil antes de que el daño se extienda. Esta guía explica qué mirar primero, cómo recuperar cuentas sin empeorar la brecha y qué hacer si el ataque afecta al correo, WhatsApp, la SIM o la banca. También te dejo criterios prácticos para distinguir un simple robo de contraseña de una intrusión real en el dispositivo.
Lo esencial para actuar sin perder tiempo
- Corta la conexión del móvil si sospechas malware, una sesión robada o control remoto.
- Empieza por el correo principal, porque desde ahí se reinician casi todas las demás cuentas.
- Revisa SIM, WhatsApp y banca si ves códigos raros, pérdida de cobertura o movimientos extraños.
- Guarda pruebas antes de borrar nada: correos, capturas, cargos y cambios de acceso.
- Contacta con INCIBE en el 017 si el caso mezcla fraude, suplantación o dudas sobre los siguientes pasos.
Cómo distinguir si el problema está en la cuenta, en el móvil o en ambos
La primera decisión útil no es técnica, es práctica: saber qué se ha tocado. A veces no te han “entrado” en el teléfono, sino que han robado una contraseña, una sesión abierta o un código SMS; otras veces el dispositivo sí está comprometido y actúa como puerta de entrada para todo lo demás. Yo suelo separar el caso en tres escenarios, porque cada uno pide una respuesta distinta.
| Señal | Qué suele significar | Qué haría yo |
|---|---|---|
| No puedes entrar en una cuenta, pero el móvil funciona normal | Robo de contraseña, reutilización de claves o acceso a la sesión | Recuperar la cuenta desde un dispositivo limpio y cerrar sesiones abiertas |
| Aparecen apps raras, permisos extraños o consumo anormal de batería y datos | Posible malware o app maliciosa | Desconectar el móvil, revisar apps y pasar a limpieza controlada |
| Dejan de llegar SMS, cambian los códigos de verificación o el operador avisa de una SIM nueva | Posible duplicado de SIM o secuestro del número | Llamar al operador, bloquear la línea y revisar banca y mensajería |
| Se envían mensajes, compras o publicaciones que no reconoces | Acceso ya consolidado a una o varias cuentas | Priorizar correo, mensajería, redes y pagos |
Qué haría en los primeros 15 minutos
En esta fase yo no intento arreglarlo todo; intento evitar que siga creciendo. La prioridad es cortar la comunicación del atacante, recuperar el control desde un entorno limpio y evitar errores que luego complican la recuperación.
- Desconecta el móvil de Wi-Fi y datos. Si crees que el atacante sigue dentro, el modo avión es una forma rápida de cortar la comunicación.
- Usa otro dispositivo limpio para cambiar contraseñas y revisar cuentas. No me gusta recuperar accesos importantes desde un teléfono que todavía no ha sido revisado.
- Cambia primero el correo principal, porque desde ahí se restablecen casi todas las demás cuentas.
- Cierra sesiones activas en los servicios que lo permitan. Un cambio de contraseña no sirve de mucho si la sesión vieja sigue abierta.
- Revisa avisos y códigos que lleguen por SMS o email. Si aparecen códigos que no has pedido, algo está intentando entrar.
- No restaures ni borres todavía si antes no has guardado pruebas básicas y revocado accesos críticos.
Yo evitaría tres errores muy comunes: reinstalar apps al azar, cambiar contraseñas desde el mismo dispositivo sospechoso y hacer un borrado de fábrica antes de cerrar correo, SIM y banca. Esa prisa suele regalar al atacante más tiempo o, como mínimo, te hace perder pistas útiles.
Cómo asegurar el móvil sin borrar antes de tiempo
La idea aquí no es solo “limpiar”, sino quitarle al atacante las rutas de entrada. En Android y iPhone hay controles distintos, pero el enfoque es parecido: revisar software, bloquear accesos extraños, actualizar el sistema y dejar el dispositivo en un estado que ya no le sirva al intruso.
En Android
- Activa Google Play Protect y ejecuta un análisis. Google lo usa para detectar apps dañinas y avisarte si algo no pinta bien.
- Desinstala apps recientes o desconocidas, sobre todo si las instalaste fuera de Google Play o llegaron por un enlace raro.
- Actualiza Android y las apps cuanto antes. Un sistema desfasado amplía la ventana de ataque.
- Revisa permisos sensibles como SMS, accesibilidad, cámara, micrófono y notificaciones. Ahí es donde muchas apps abusivas hacen daño real.
- Comprueba tu cuenta de Google y mira si hay dispositivos desconocidos, alertas de seguridad o cambios en métodos de recuperación.
En iPhone
- Actualiza iOS a la versión más reciente disponible. Apple insiste en que las versiones antiguas dejan más margen a ataques web y de perfil bajo.
- Revisa tu Apple Account, los dispositivos de confianza y los datos de contacto asociados.
- Activa Protección del dispositivo robado si tu versión la admite. Es útil cuando el atacante tiene el iPhone en la mano o conoce el código.
- Comprueba perfiles, apps y ajustes que no reconozcas. Si algo aparece y no sabes por qué está ahí, no lo des por bueno.
Recupera las cuentas desde un entorno limpio
Yo empezaría por el correo principal, porque desde ahí se resetea casi todo lo demás. Después iría a Apple, Google, redes sociales, mensajería y servicios de pago, siempre desde un equipo que no esté comprometido.
| Cuenta | Prioridad | Qué revisaría |
|---|---|---|
| Correo principal | Muy alta | Contraseña, reenvíos automáticos, filtros, recuperación y sesiones activas |
| Cuenta de Apple o Google | Muy alta | Dispositivos de confianza, teléfono de recuperación, email de rescate y alertas |
| WhatsApp, Telegram y redes sociales | Alta | Dispositivos vinculados, sesiones abiertas, contactos de recuperación y doble factor |
| Banca y pagos | Crítica | Movimientos recientes, tarjetas, límites de pago y notificaciones de operación |
- Usa contraseñas únicas y largas en cada servicio. Si repetías la misma, cambia también las cuentas donde la reutilizaste.
- Activa el doble factor. Yo prefiero una app autenticadora o una passkey antes que SMS, porque el SMS depende demasiado del número de teléfono.
- Revisa el correo a fondo: reenvíos, reglas automáticas, carpetas ocultas y direcciones de recuperación.
- Cierra todas las sesiones y vuelve a entrar solo en los dispositivos que reconozcas.
- Sigue el flujo oficial del proveedor si el acceso ya no funciona. En Google y Apple, improvisar con enlaces reenviados por terceros es una mala idea.
Una passkey, por si te lo preguntas, es una credencial ligada a tu dispositivo y al servicio, pensada para sustituir la contraseña tradicional y resistir mejor el phishing. Si el servicio la admite, yo la dejaría activada antes que una contraseña reciclada con SMS de respaldo.
Revisa la SIM, WhatsApp y la banca antes de dar el caso por cerrado
En móviles, el ataque rara vez se queda solo en una cuenta. La línea telefónica, la mensajería y los pagos son los puntos donde más rápido aparece el daño real. Aquí una regla que la propia INCIBE repite con insistencia: no compartas códigos de verificación con nadie, aunque parezca soporte técnico o un contacto conocido.
Señales de un problema con la SIM
- Dejas de tener cobertura sin explicación clara.
- Los SMS no llegan, pero los datos sí funcionan de forma extraña.
- Tu operador detecta un duplicado o un cambio reciente que no has pedido.
- Empiezan a fallar los códigos de verificación por SMS en varias cuentas.
Lee también: iPhone perdido - Cómo usar Buscar y proteger tus datos
Qué haría con WhatsApp y la banca
- WhatsApp: revisa dispositivos vinculados, activa la verificación en dos pasos y vuelve a registrar la cuenta desde tu propio número si algo no cuadra.
- Banca: bloquea tarjetas o medios de pago si ves movimientos raros, revisa notificaciones de compra y contacta con el banco por su canal oficial.
- Correo de cobros: mira si han cambiado datos de facturación, cuentas de pago o reglas de reenvío que puedan desviar avisos.
Qué pruebas guardar y cuándo denunciar
Cuando hay fraude, no basta con recuperar el acceso: también conviene dejar rastro de lo ocurrido. Si luego necesitas reclamar ante un banco, un operador, la plataforma afectada o una denuncia formal, tener pruebas ordenadas ahorra tiempo y reduce discusiones innecesarias.
- Capturas de pantalla de inicios de sesión, cambios de contraseña, avisos de seguridad y mensajes extraños.
- Correos de alerta sobre acceso nuevo, cambio de recuperación o modificación de datos personales.
- Movimientos bancarios, recibos y notificaciones de pago no reconocidas.
- Listado de apps instaladas recientemente, especialmente si aparecieron justo antes del problema.
- Fechas y horas aproximadas de cada señal, aunque sean estimadas.
- Cualquier dato de la SIM o del operador que indique cambio, duplicado o portabilidad no solicitada.
Yo guardaría todo en un espacio al que el móvil comprometido no tenga acceso, y no editaría los archivos más de lo necesario. Si además hay suplantación de identidad, compras no autorizadas o acceso a datos personales, hablaría con el banco, con el operador y, si hace falta, con la policía. En España, INCIBE ofrece el 017, gratuito y confidencial, para ayudarte a decidir los siguientes pasos cuando el caso no está claro.
Lo que dejaría configurado para no repetir el golpe
Una vez resuelto el susto, el objetivo ya no es solo “estar limpio”, sino quedar mejor protegido que antes. Yo dejaría activos estos básicos sin negociarlos demasiado:
- Bloqueo del móvil con al menos 6 dígitos, mejor si es largo y no obvio.
- Actualizaciones automáticas del sistema y de las apps.
- Autenticación en dos factores en correo, banca, redes y servicios importantes.
- Passkeys o una app autenticadora cuando el servicio las permita.
- Notificaciones de inicio de sesión y revisión mensual de dispositivos conectados.
- Play Protect en Android y las funciones de seguridad de Apple activadas en iPhone, incluida Protección del dispositivo robado si la tienes disponible.
Yo no daría por cerrado el incidente hasta comprobar que ya puedes entrar en tus cuentas, que la SIM responde bien, que no hay reenvíos extraños en el correo y que la banca está limpia. Si haces eso y dejas bloqueos, 2FA y actualizaciones bien puestos, el siguiente intento tendrá mucho menos recorrido.
