Estafa de falso pedido de código de dos pasos

Una estafa de falso pedido de código de dos pasos ocurre cuando alguien te pide el código que acaba de llegar por SMS, correo, WhatsApp, banco, marketplace o app. Puede decir que es para confirmar una compra, liberar un pago, verificar identidad, recuperar una cuenta o ayudar a un familiar. La IA puede hacer que el mensaje suene como soporte real. Lo primero: un código de verificación es una llave temporal. Si lo compartes, otra persona puede entrar, cambiar contraseña o aprobar una operación.

Esta página explica cómo frenar el impulso de ayudar y cómo confirmar la situación sin regalar acceso.

• El código de dos pasos no se comparte con nadie.
• Soporte real no necesita que le leas tu código.
• Un familiar con cuenta robada puede pedirte el código por chat.
• Si recibes un código que no pediste, alguien está intentando entrar.
• Cambia contraseña si compartiste el código.
• Activa autenticación de dos pasos, pero úsala correctamente.

Los códigos de dos pasos existen para comprobar que tú tienes tu teléfono, correo o app de autenticación. El problema aparece cuando el estafador intenta entrar a tu cuenta y te convence de leerle el código. Puede fingir ser soporte, banco, comprador, vendedor, familiar, agencia de empleo o plataforma.

La FTC explica que si alguien pide un código de verificación, probablemente intenta entrar a una cuenta o crear una cuenta usando tu número. Revisa su alerta What’s a verification code and why would someone ask me for it?.

La IA puede ayudarte a explicar el riesgo en lenguaje simple y preparar una respuesta: “No comparto códigos. Si eres soporte, continuaré desde la app oficial”. También puede crear una regla familiar: si llega un código que no pediste, no lo compartas y avisa a alguien de confianza.

Nunca pegues el código real en IA. Aunque parezca vencido, trata los códigos como datos sensibles.

1. No leas, no copies y no envíes el código.
2. Pregunta qué operación supuestamente requiere ese código.
3. Cierra el chat o llamada si hay presión.
4. Abre la app oficial desde tu teléfono.
5. Cambia contraseña si el código llegó sin que lo pidieras.
6. Revisa sesiones activas y dispositivos conectados.
7. Avisa a contactos si sospechas que una cuenta fue tomada.

Marketplace: “Te llegará un código para confirmar que eres real”. Respuesta segura: no compartir.

WhatsApp: “Soy tu tía, perdí acceso, mándame el código”. Respuesta segura: llamar a tu tía por otro número.

Banco: “Dígame el código para bloquear fraude”. Respuesta segura: colgar y llamar al banco oficial.

Es una verificación adicional, normalmente enviada por SMS, correo o app, para confirmar que quien entra a la cuenta eres tú. Sirve como una llave temporal y por eso debe mantenerse privada.

Cambia la contraseña de la cuenta afectada, revisa sesiones activas, cierra dispositivos desconocidos, activa seguridad adicional y avisa a contactos si pueden recibir mensajes falsos desde tu cuenta.

Revisa el centro de ayuda oficial de la app o banco afectado. Para fundamentos de seguridad, la FTC tiene una guía sobre autenticación de dos factores.

¿Soporte técnico puede pedirme el código?

No debería. El código es para ti.

¿Puedo compartirlo si yo pedí ayuda?

No. Usa la app oficial o canal verificado.

¿Qué pasa si el código expiró?

Aun así no lo compartas; crea malos hábitos y puede no estar vencido.

¿IA puede guardar mi código?

No pegues códigos reales en ninguna IA.

¿Un banco pide códigos por teléfono?

Trata cualquier pedido así como peligroso y llama al banco por número oficial.

¿Debo borrar el mensaje del código?

Puedes borrarlo, pero primero asegúrate de que la cuenta esté protegida.

¿Por qué llegó si no hice nada?

Alguien pudo escribir tu número o intentar entrar a tu cuenta.

¿Sirve una app autenticadora?

Sí, suele ser más segura que SMS, pero el código sigue siendo privado.

El código de dos pasos no es un trámite; es una llave. Cuando alguien lo pide, la respuesta segura es no compartir y verificar desde la cuenta oficial.