- Investigadores de Viena demostraron la enumeración masiva de números en WhatsApp a escala global.
- Se obtuvieron 3.500 millones de números, fotos de perfil en el 57% y textos públicos en el 29%.
- Meta aplicó limitación de velocidad en octubre y asegura que el cifrado de mensajes no se vio afectado.
- El riesgo incluye estafas dirigidas y exposición en países donde WhatsApp está prohibido.
Una investigación académica ha puesto bajo los focos un fallo de seguridad en el sistema de descubrimiento de contactos de WhatsApp que, explotado a gran escala, permitió verificar números de teléfono y asociarles datos de perfil de forma masiva. El hallazgo describe cómo un proceso rutinario de la app puede convertirse, si se repite a ritmo industrial, en una fuente de exposición de información.
El estudio, liderado por un equipo de la Universidad de Viena, demostró que era posible consultar la existencia de cuentas para miles de millones de combinaciones de números a través de la versión web, sin bloqueos efectivos durante meses. Según los autores, si ese proceso no se hubiera efectuado de manera responsable, estaríamos hablando de una de las exposiciones de datos más grandes jamás documentadas.
Cómo se materializó la brecha: la enumeración masiva
El problema no tuvo que ver con romper el cifrado, sino con una debilidad conceptual: la herramienta de búsqueda de contactos del servicio. WhatsApp permite consultar si un teléfono está registrado; repetir esa comprobación de forma automatizada y a gran escala abrió la puerta a un rastreo global.
Los investigadores austriacos aprovecharon la interfaz web para probar números de manera continuada, alcanzando un ritmo aproximado de 100 millones de verificaciones por hora sin que hubiera límites efectivos de velocidad durante el periodo analizado. Ese volumen hizo posible una extracción inédita.
El resultado del experimento fue contundente: pudieron obtener los números de teléfono de 3.500 millones de cuentas de WhatsApp. Además, lograron asociar datos de perfil disponibles públicamente para una parte importante de esa muestra.
En concreto, el equipo señaló que se accedió a fotos de perfil en el 57% de los casos y a textos públicos de estado o información adicional en el 29%. Aunque estos campos dependen de la configuración de cada usuario, su exposición a escala amplifica el riesgo.
- 3.500 millones de números verificados como registrados en WhatsApp.
- 57% con foto de perfil accesible públicamente.
- 29% con texto de perfil consultable.
Advertencias previas que no se atendieron a tiempo
La debilidad de enumeración no era completamente nueva: ya en 2017, el investigador holandés Loran Kloeze advirtió de que era posible automatizar la comprobación de números y asociarles datos visibles. Aquella alerta anticipaba la situación actual.
El trabajo reciente de Viena llevó esa idea al extremo y evidenció que la dependencia del número de teléfono como identificador único sigue siendo problemática. Como remarcan los autores, los números no están diseñados para actuar como credenciales secretas, pero en la práctica cumplen ese papel en muchos servicios.
Otra conclusión relevante del estudio es que gran parte de la información personal mantiene su valor con el tiempo: el equipo halló que el 58% de los teléfonos expuestos en la filtración de Facebook de 2021 siguen activos hoy en WhatsApp, lo que facilita correlaciones y campañas persistentes.
Además de los números, el proceso de consulta masiva permitió inferir ciertos metadatos técnicos, como el tipo de cliente o sistema operativo empleado y la presencia de versiones de escritorio, lo que añade superficie para la elaboración de perfiles.
Respuesta de Meta: límites de velocidad y postura oficial
Los investigadores comunicaron el hallazgo a Meta en abril y eliminaron la base de datos generada tras validarla. La compañía, por su parte, implementó en octubre medidas de rate limiting más estrictas para bloquear la enumeración a gran escala a través de la web.
En declaraciones remitidas a medios especializados, Meta agradeció el aviso a través de su programa de recompensas por fallos y subrayó que la información expuesta era la que cada usuario había configurado como visible. También aseguró no haber encontrado pruebas de abuso malicioso de este vector.
La empresa insistió en que los mensajes permanecieron protegidos por el cifrado de extremo a extremo y que no se accedió a datos no públicos. No hubo indicios de que se hubiese roto el sistema criptográfico.
Tras varias reuniones técnicas, WhatsApp recompensó la investigación con 17.500 dólares. Para el equipo, el proceso sirvió para medir y poner a prueba la eficacia de las nuevas defensas desplegadas después de la notificación.
Riesgos reales: del fraude al señalamiento en países con prohibiciones
Más allá del plano técnico, el principal impacto de esta exposición es práctico. Con un número de teléfono y datos de perfil visibles, resulta más sencillo construir campañas de ingeniería social y estafas dirigidas que aprovechen la información contextual de cada víctima.
Los investigadores también identificaron millones de cuentas activas en territorios donde WhatsApp está prohibido, como China, Irán o Myanmar. La visibilidad de esos números podría acarrear consecuencias personales o legales para usuarios en contextos de alta vigilancia.
La disponibilidad masiva de teléfonos válidos potencia el spam, el doxxing y el phishing con un nivel de precisión mayor, especialmente cuando la foto de perfil o el texto público aportan pistas sobre identidad, empleo o redes sociales vinculadas.
Conviene recordar que, una vez agregada a enormes bases de datos, la información puede circular durante años, combinándose con otras filtraciones para enriquecer perfiles y aumentar la eficacia de los ataques.
Europa y España: por qué importa aquí
En España y el resto de la UE, donde WhatsApp es omnipresente, la exposición de información a esta escala preocupa por su impacto potencial en millones de usuarios y empresas. Aunque Meta corrigió la vía de enumeración, el incidente reabre el debate sobre un diseño que se apoya en el número de teléfono.
El caso, protagonizado por un equipo universitario europeo, recuerda que incluso funciones pensadas para la comodidad —como encontrar contactos al instante— pueden convertirse en vectores de riesgo si no cuentan con defensas sólidas y verificadas de forma continua.
También pone el foco en la necesidad de configurar la privacidad con criterio. Si la foto de perfil o el texto público aportan más información de la necesaria, su exposición a gran escala se convierte en un multiplicador de amenazas para usuarios particulares y profesionales.
Para organizaciones y administraciones europeas con obligaciones de seguridad, limitar la visibilidad de datos y reforzar procedimientos internos de verificación fuera de la app ayuda a reducir la superficie de ataque de campañas de suplantación o fraude.
Qué puedes hacer ahora mismo
A falta de un identificador alternativo, la mejor defensa del usuario pasa por ajustar las opciones de privacidad del perfil y adoptar hábitos prudentes en la mensajería.
- Restringe la foto de perfil y la información a “Mis contactos” o “Nadie”.
- Evita incluir datos sensibles o enlaces personales en el texto de estado.
- Desconfía de mensajes inesperados, incluso si muestran tu nombre o foto.
- Verifica por un canal secundario cualquier solicitud urgente o de pago.
Aunque la vía concreta de enumeración masiva haya sido cerrada, este episodio evidencia que la combinación de identificadores públicos y pequeñas omisiones de control puede derivar en exposiciones enormes. Mantener al mínimo lo que otros pueden ver de tu cuenta limita el impacto de futuras técnicas de recolección.
La investigación austriaca demostró que una función cotidiana podía explotarse a escala industrial para validar miles de millones de números y asociarles perfiles visibles; Meta ha endurecido los límites y sostiene que no hay pruebas de abuso, pero los riesgos de ingeniería social, señalamiento en países con prohibiciones y persistencia de datos exponen la necesidad de revisar el diseño basado en números de teléfono y de fomentar hábitos de privacidad más estrictos entre los usuarios europeos.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.