Investigadores de la Universidad de Viena lograron extraer los números de teléfono de 3.500 millones de usuarios de WhatsApp, así como fotos de perfil y textos públicos, al aprovechar una vulnerabilidad en el sistema de descubrimiento de contactos de la aplicación.
Este incidente expone la escala de una filtración de datos personales que impacta a una de las plataformas de mensajería más utilizadas, con consecuencias directas para la privacidad de miles de millones de personas. Meta, responsable de WhatsApp, reconoció el problema y aseguró que implementó soluciones para corregir la falla.
El uso cotidiano de WhatsApp reveló la falla
El equipo, integrado por Aljosha Judmayer, Max Günther y Gabriel Gegenhuber, demostró que era posible utilizar la búsqueda de contactos de WhatsApp para verificar, de manera automatizada, si cualquier número estaba registrado. Repitiendo este proceso a gran escala, recopilaron tanto los números como fotos de perfil en el 57% de los casos y textos públicos en el 29%.
Según Judmayer, se trata de “la exposición más extensa de números de teléfono y datos de usuario relacionada que se haya documentado”.
Los datos recopilados reflejan el alcance global de la exposición. Entre los 137 millones de números estadounidenses obtenidos, el 44% tenía fotos de perfil y el 33% textos públicos. En India, donde WhatsApp supera los 750 millones de usuarios, el 62% de las cuentas expuso imágenes de perfil.
En Brasil, de los 206 millones de números identificados, el 61% mostraba fotos visibles. Además, se detectaron millones de números en países donde WhatsApp está prohibido, como China (2,3 millones) y Myanmar (1,6 millones), lo que podría facilitar la persecución de usuarios en contextos represivos.
Respuesta de Meta
Meta fue notificada sobre la vulnerabilidad en abril y aplicó en octubre una medida de limitación de velocidad (rate-limiting) más estricta para prevenir la recolección masiva de datos por este método. Nitin Gupta, vicepresidente de ingeniería de WhatsApp, afirmó que no hay evidencia de abuso malicioso de este vector. Los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado de extremo a extremo, y los investigadores nunca accedieron a datos no públicos.
Según informó Wired, Meta agradeció al equipo, que reportó su descubrimiento a través del sistema de recompensas por errores, y destacó que la información expuesta correspondía a datos públicos, disponibles solo para quienes no habían restringido su visibilidad.
A pesar de la respuesta de la empresa, los investigadores señalaron que no hallaron obstáculos técnicos significativos durante la extracción de datos y que la vulnerabilidad había sido advertida en 2017 por el investigador holandés Loran Kloeze. Entonces, Meta (antes Facebook) consideró que las configuraciones de privacidad funcionaban correctamente y no otorgó recompensa alguna por el reporte.
Sin embargo, la nueva investigación demostró que la protección contra la recolección masiva de datos seguía siendo insuficiente hasta 2023, lo que permitió la enumeración de todos los números registrados en WhatsApp, una cifra muy superior a la de años anteriores.
Posibles consecuencias
El riesgo no se limita a la obtención de números de teléfono. Los investigadores advirtieron que estos datos pueden emplearse para crear bases de datos para estafas o spam y, en países donde WhatsApp está prohibido, los gobiernos podrían usarlos para identificar y perseguir usuarios, como ha ocurrido en China.
El análisis técnico del equipo de Viena reveló otros problemas de seguridad. Al examinar las claves criptográficas asociadas a 3.500 millones de cuentas, detectaron que muchas compartían claves duplicadas, lo que supone un riesgo, pues podría permitir a terceros descifrar mensajes ajenos.
Algunas claves se reutilizaban cientos de veces y, en 20 números estadounidenses, consistían solo en ceros. Los investigadores sugirieron que esto podría deberse al uso de clientes no autorizados, y observaron que varias cuentas estaban vinculadas a actividades fraudulentas.
Además de la ausencia de limitaciones técnicas, los investigadores expusieron un problema estructural: utilizar números de teléfono como identificadores únicos en servicios de gran escala como WhatsApp es intrínsecamente inseguro. La baja aleatoriedad facilita la recolección masiva de datos y, aunque el ‘rate-limiting’ ayuda a mitigar el riesgo, no garantiza una protección total si la facilidad de descubrimiento de contactos sigue siendo prioritaria.
Últimas Noticias
Cómo comprobar si tu celular es resistente al agua
El principal indicador de resistencia al agua en los dispositivos móviles modernos es la certificación IP (Ingress Protection)
Así te ayudará Google Maps a cargar tu carro eléctrico: mostrará la disponibilidad anticipada de cargadores
La función usa inteligencia artificial para combinar datos históricos e información en tiempo real de los cargadores, con el fin de anticipar su ocupación, reducir tiempos de espera y hacer más eficiente el viaje
Talento e IA: las economías latinoamericanas más grandes se retrasan en adopción de IA, según Salesforce
El informe identifica obstáculos en marcos regulatorios, innovación y formación que frenan el desarrollo tecnológico regional
Frases y mensajes del Día Internacional del Hombre en 2025 para enviar en WhatsApp
Esta fecha busca promover la reflexión sobre la masculinidad saludable y la igualdad de género en más de 80 países
Por qué no debes buscar Las Guerreras K-Pop 2025 en Magis TV o XUPER TV: qué app es segura para verla en español
El acceso a la película a través de sitios piratas expone a los usuarios a ciberataques, fraudes y sanciones legales, mientras la plataforma original garantiza seguridad y calidad de experiencia
