Una reciente investigación académica encendió las alarmas sobre la privacidad en WhatsApp. Expertos de la Universidad de Viena y del instituto SBA Research revelaron que la plataforma de mensajería tuvo una vulnerabilidad que permitió verificar la existencia de 3.500 millones de números telefónicos registrados en el servicio, un volumen sin precedentes que derivó en la creación de una especie de “agenda global” de usuarios.
Una función legítima convertida en herramienta de recolección masiva
El problema se originó en el sistema de descubrimiento de contactos, una función que WhatsApp utiliza para comprobar si un número está registrado en la aplicación. Este mecanismo, pensado para facilitar la conexión entre usuarios, no tenía un límite estricto de consultas, lo que permitió a los investigadores automatizar millones de verificaciones en poco tiempo.De acuerdo con el estudio, desde una sola dirección IP se pudieron enviar hasta 7.000 solicitudes por segundo, superando ampliamente lo que el sistema podía controlar. Mediante esta explotación fue posible confirmar qué números estaban activos dentro de la plataforma, lo que equivalió a recolectar datos de miles de millones de cuentas.
Qué tipo de información quedó expuesta
Además de verificar números telefónicos, la vulnerabilidad permitió obtener distintos datos públicos que las personas dejan visibles en sus perfiles:
- claves públicas utilizadas en el cifrado,
- marcas de tiempo que reflejan actividad,
- fotos de perfil habilitadas para “todos”,
- textos del estado o descripción,
- detalles técnicos inferidos como el sistema operativo, la antigüedad de la cuenta y los dispositivos vinculados.
Aunque el contenido de los mensajes permaneció seguro gracias al cifrado de extremo a extremo, los expertos advirtieron que estos datos públicos, combinados a escala masiva, pueden alimentar campañas de spam, phishing o llamadas robotizadas. Incluso podrían servir como insumo para sistemas de vigilancia en países donde el uso de WhatsApp es ilegal o está controlado.
Claves repetidas y uso de aplicaciones no oficiales
Durante el análisis técnico surgió otro dato inquietante: se detectaron claves criptográficas reutilizadas en distintas cuentas. Según los investigadores, esto podría estar relacionado con el uso de clientes modificados o no oficiales, que replican configuraciones de seguridad de manera inadecuada y generan nuevas vulnerabilidades.El estudio también cuestiona que WhatsApp utilice el número de teléfono como identificador único, un dato fácil de predecir y de enumerar en grandes escalas, lo que facilita ataques automatizados como el que se demostró en esta investigación.
La reacción de Meta y las medidas adoptadas
El reporte fue enviado a WhatsApp en abril de 2025, y meses más tarde, en octubre de ese mismo año, Meta desplegó una serie de contramedidas para evitar que se repita la explotación del mecanismo. Entre ellas se implementaron límites más estrictos al número de consultas permitidas en un mismo intervalo temporal, conocidos como rate limiting.La compañía afirmó que no encontró indicios de que esta vulnerabilidad haya sido utilizada con fines delictivos fuera del estudio académico. También subrayó que la información accesible correspondía a elementos públicos definidos por la configuración de privacidad de cada usuario.
Meta agradeció formalmente la investigación a través de su programa de recompensas bug bounty, reconociendo el aporte como un hallazgo válido dentro del ámbito de la seguridad informática.
Con el incidente ya mitigado, el caso vuelve a poner sobre la mesa el debate sobre cómo equilibrar funcionalidad y privacidad en plataformas que manejan datos de miles de millones de personas.
Compartinos tu opinión