Peligros de los metadatos en WhatsApp y cómo proteger tu privacidad

  • WhatsApp cifra el contenido de los mensajes, pero sigue recopilando y explotando una gran cantidad de metadatos sobre tus comunicaciones.
  • Las fotos enviadas como documento conservan metadatos EXIF, incluida la geolocalización, lo que puede revelar tu ubicación exacta sin que te des cuenta.
  • En contextos de ciberdelincuencia, vigilancia comercial o incluso conflictos bélicos, los metadatos permiten perfilar identidades, rutinas y redes de contacto.
  • Ajustar los permisos de la cámara, evitar enviar fotos sensibles como documentos y usar VPN o apps más privadas ayuda a reducir estos riesgos.
Isaac

14 minutos

Riesgos de metadatos en WhatsApp

WhatsApp se ha ganado a pulso la fama de ser una aplicación “segura” gracias al cifrado de extremo a extremo heredado del protocolo Signal. Nadie externo a la conversación —ni siquiera la propia plataforma— puede leer el contenido de lo que escribes. Pero, aunque esto suene tranquilizador, deja fuera una pieza clave del puzle de la privacidad: los metadatos.

Cuando hablas con alguien por WhatsApp, no solo se genera el mensaje que ves en pantalla. A su alrededor viaja un montón de información silenciosa sobre ti, tu dispositivo y tus hábitos. Y ahí está el quid de la cuestión: aunque no sepan exactamente qué dices, sí pueden saber con bastante precisión cuándo, desde dónde, con quién y con qué frecuencia te comunicas. Esos “datos sobre tus datos” son oro puro tanto para el negocio publicitario como para ciberdelincuentes o incluso para servicios de inteligencia en contextos de guerra.

WhatsApp, cifrado de Signal y el gran agujero de los metadatos

El cifrado de extremo a extremo de WhatsApp es, a día de hoy, técnicamente muy sólido. Se basa en el protocolo Signal, considerado uno de los estándares más robustos del mundo para proteger el contenido de las comunicaciones. Gracias a este sistema, solo el emisor y el receptor pueden leer los mensajes, y ni WhatsApp ni terceros deberían tener acceso al texto, notas de voz o llamadas.

El problema es que este blindaje solo cubre el “mensaje” como tal. A su alrededor, WhatsApp sigue recopilando y explotando metadatos de todo lo que haces en la app. Es decir, se registra quién habla con quién, a qué horas, con qué frecuencia, desde qué dirección IP, qué dispositivo se usa, cuánto dura una llamada, cuántos caracteres tiene un mensaje, si adjuntas archivos y de qué tipo, etc.

Si se mira con algo de perspectiva, esto significa que la plataforma puede dibujar un mapa bastante preciso de tu vida digital: con qué personas tienes trato diario, en qué franjas horarias sueles estar conectado, qué lugares frecuentas, qué grupos te interesan, si formas parte de determinados colectivos, si viajas, si trabajas a deshoras… Aunque el contenido esté cifrado, el patrón habla por ti.

Todo esto se agrava porque WhatsApp pertenece a Meta, el mismo grupo que controla Facebook e Instagram. Al correlacionar metadatos de WhatsApp con la información de redes sociales, se pueden generar perfiles de usuario increíblemente detallados, muy valiosos para publicidad segmentada, pero también extremadamente sensibles desde el punto de vista de la privacidad y de la vigilancia masiva.

En este contexto, especialistas en ciberseguridad alertan de que a los atacantes o grandes plataformas ya no les hace falta leer tus mensajes para conocerte muy bien. Con los metadatos es posible inferir relaciones personales, rutinas, nivel económico aproximado, intereses políticos o incluso estado de ánimo en determinadas etapas, lo que multiplica el potencial para la ingeniería social, el phishing avanzado o el llamado capitalismo de vigilancia.

Metadatos y privacidad en WhatsApp

Renegociación de claves, vulnerabilidades y límites del cifrado

Otro aspecto delicado es la capacidad de WhatsApp para renegociar claves de cifrado cuando cambias de móvil o cuando un dispositivo está fuera de línea. Esta función, que a nivel de experiencia de usuario es comodísima —permite recuperar conversaciones y seguir usando la app sin perder el historial—, abre también una puerta teórica a escenarios de riesgo.

En la práctica, este mecanismo supone que las claves que protegen tus mensajes pueden renovarse en segundo plano. Hecho bien, no debería permitir acceder al contenido ya cifrado. Pero diversos expertos han planteado que, con los recursos y la voluntad adecuados, una plataforma o un atacante muy sofisticado podrían intentar aprovechar este tipo de procesos para leer comunicaciones que en teoría deberían seguir siendo inaccesibles.

A esto se suma que, como cualquier otra aplicación masiva, WhatsApp no está libre de vulnerabilidades de software. Hace algunos años se descubrió un fallo que permitía instalar spyware en dispositivos con solo hacer una llamada de WhatsApp al objetivo, sin necesidad siquiera de que contestara. La compañía sacó un parche rápido, sí, pero quedó muy claro que incluso las apps que usamos a diario y consideramos “fiables” pueden tener agujeros muy serios.

Cuando una aplicación con más de 2.000 millones de usuarios se ve afectada por un fallo grave, la magnitud del problema se dispara. Ya no hablamos de unos pocos dispositivos aislados: estamos ante una superficie de ataque global, perfecta para campañas de espionaje masivo, ciberdelincuencia organizada o incluso operaciones de inteligencia de estados.

Por todo ello, conviene entender que el cifrado de extremo a extremo es necesario, pero no suficiente para garantizar tu privacidad. Los metadatos siguen siendo visibles para la plataforma y, en ciertos supuestos legales, para autoridades o fuerzas de seguridad. Y cualquier vulnerabilidad en el cliente o en la infraestructura puede convertir esa información en un botín extremadamente jugoso.

Peligros de compartir fotos con metadatos

Metadatos: qué son y por qué importan tanto en WhatsApp

Los metadatos suelen definirse como “datos sobre los datos”. No describen el contenido en sí, sino información estructurada que lo contextualiza: quién lo ha creado, cuándo, desde qué lugar, con qué dispositivo, de qué tamaño es, qué formato tiene, etc. La organización NISO los describe como información estructurada que describe, explica, localiza o facilita la recuperación, el uso o la gestión de otros datos.

En el caso de aplicaciones de mensajería como WhatsApp, los metadatos pueden abarcar, entre otros:

  • Remitente y destinatario: números de teléfono, cuentas implicadas, grupos en los que se envía el mensaje.
  • Fecha y hora exactas de envío y recepción de cada mensaje o llamada.
  • Frecuencia y duración de las interacciones: cuántos mensajes se cruzan, cuánto dura una llamada o videollamada.
  • Información de red y ubicación aproximada: dirección IP, país, ciudad e incluso localización más fina según la red a la que estés conectado.
  • Detalles técnicos del dispositivo: modelo de móvil, sistema operativo, versión de la app, nivel de batería, idioma, zona horaria.

Aunque pueda parecer poca cosa, todo este conjunto de datos, analizado de forma masiva, permite trazar perfiles muy detallados. Es posible detectar quién forma parte de un grupo concreto, qué personas actúan como “nodos” centrales de una red, si hay patrones de comunicación propios de una relación sentimental, de trabajo, de militancia política o de una actividad ilícita.

En términos de ciberseguridad, los metadatos son tan sensibles como el contenido, e incluso más, en algunos contextos. Un ciberdelincuente podría, por ejemplo, detectar qué tipo de móvil utilizas y su versión de sistema operativo, y con ello buscar exploits y vulnerabilidades específicas para ese modelo. También podría deducir cuándo estás fuera de casa, cuándo estás de vacaciones o en qué franjas horarias sueles estar distraído para lanzar ataques dirigidos.

Para fuerzas policiales y servicios de inteligencia, el análisis de metadatos es un arma potentísima de investigación. Sin desencriptar mensajes, pueden mapear redes de comunicación, identificar líderes, seguir la pista de grupos o, en un entorno de conflicto bélico, localizar infraestructuras críticas o personas clave. Justo por eso, muchos defensores de la privacidad advierten del riesgo de que estos datos se usen con fines políticos o de vigilancia masiva.

El profesor e investigador de tecnologías digitales Quelic Berga, por ejemplo, ha planteado el escenario de qué habría ocurrido en una guerra pasada si los mandos hubieran tenido acceso a todos estos metadatos: con quién habla cada persona, qué ideología tiene, dónde vive, qué orientación sexual o nivel socioeconómico posee. Hoy en día, esa información existe, se genera sin parar y queda en manos de empresas privadas o estados, muchas veces sin que el usuario sea realmente consciente.

Metadatos, guerras, geopolítica y capitalismo de vigilancia

Más allá del día a día, los metadatos de servicios de mensajería como WhatsApp o Telegram tienen un enorme valor geopolítico. En un contexto de guerra, como el vivido en Ucrania, los servicios de inteligencia pueden explotar estos datos para rastrear movimientos de población, identificar objetivos de alto valor, detectar deserciones o monitorizar el estado de ánimo de la sociedad.

Una parte clave de este problema es la jurisdicción y ubicación de las sedes y servidores de las empresas tecnológicas. Si una app tiene su sede en un país determinado, la legislación de ese país puede obligarla a ceder datos de usuarios. Esto explica, por ejemplo, movimientos como el intento de Donald Trump de forzar la venta de TikTok a una empresa estadounidense o el hecho de que Telegram decidiera abandonar Rusia cuando los servicios de inteligencia le reclamaron datos de usuarios ucranianos años atrás.

En la Unión Europea, el Reglamento General de Protección de Datos (RGPD) y otras normas aportarían, sobre el papel, ciertas garantías adicionales. Sin embargo, investigadores como Berga recuerdan que muchas compañías siguen aprovechando lagunas legales o el consentimiento poco informado de los usuarios para explotar comercialmente estos metadatos.

Todo esto se enmarca en lo que la psicóloga Shoshana Zuboff llamó capitalismo de vigilancia: un modelo de negocio basado en recolectar, analizar y monetizar información personal a gran escala. En la práctica, marcas y anunciantes pagan por acceder a perfiles hipersegmentados construidos a partir de nuestros usos digitales, incluidos los metadatos de mensajería.

La frase “el dato más seguro es el que no se recoge” resume bien la postura de muchos expertos: cuantos más datos se almacenan, más se concentran riesgos, tanto de abusos comerciales y políticos como de filtraciones, hackeos o usos imprevistos si un día estalla un conflicto o cambia el marco legal de forma drástica.

El caso especial de las fotos: EXIF, geolocalización y WhatsApp

Si hay un tipo de contenido especialmente delicado en lo que respecta a metadatos, son las fotografías y los vídeos que enviamos por WhatsApp. Cada vez que sacas una foto con tu móvil, el archivo suele guardar información EXIF (Exchangeable Image File Format), que incluye:

  • Marca y modelo del dispositivo con el que hiciste la foto.
  • Versión de sistema operativo, ajustes de cámara (exposición, ISO, apertura, etc.).
  • Fecha y hora exactas de captura de la imagen.
  • Coordenadas GPS precisas del lugar donde se tomó, si la geolocalización está activada.

Esta información puede parece inocente, pero permite a cualquiera que reciba el archivo conocer datos muy sensibles. Por ejemplo, un desconocido podría averiguar la ubicación exacta de tu casa si le mandas una foto de tu mascota tomada en el salón con la geolocalización activada. Copiando las coordenadas en Google Maps, vería tu portal sin demasiado esfuerzo.

En el caso de WhatsApp, hay un matiz importante: cuando envías una foto como “imagen” normal, la app la comprime y suele eliminar la mayor parte de los metadatos EXIF. Es decir, se reduce el peso del archivo y, de paso, se borra esa información interna antes de que llegue al receptor, lo cual es relativamente positivo para tu privacidad.

Sin embargo, muchos usuarios —sobre todo quienes necesitan máxima calidad, como fotógrafos o diseñadores— utilizan el “truco” de enviar la foto como documento para conservar la resolución original. Al hacer esto, WhatsApp no toca el archivo y la imagen llega íntegra, con todos sus metadatos: marca del dispositivo, modelo, fecha, hora… y, a menudo, coordenadas de GPS incluidas.

Todo esto provoca que, si se manda una foto como documento a alguien que no es de total confianza, se esté entregando un extra de información personal que no se ve a simple vista. No es algo que la víctima suela tener en mente: el receptor, con un simple explorador de archivos o la galería de su móvil, puede acceder a esos detalles EXIF y, si quiere, localizarlos en un mapa.

En el ámbito legal, esta misma característica se usa justo al revés: peritos informáticos forenses se apoyan en los metadatos de las imágenes para acreditar la autenticidad de pruebas en procedimientos judiciales. La fecha, la geolocalización y los datos técnicos pueden confirmar si una foto ha sido manipulada o si realmente se tomó en el momento y lugar alegados, o incluso desenmascarar falsificaciones y fraudes documentales.

WhatsApp HD, truco de enviar como documento y qué puedes hacer

Para responder a las quejas de que la app destrozaba la calidad de las fotos, WhatsApp introdujo el envío de imágenes en calidad HD. Esta opción mejora bastante el resultado visual frente a la compresión estándar, y en la mayoría de usos cotidianos es más que suficiente para compartir recuerdos con amigos o familia sin perder demasiada nitidez.

Aun así, hay usuarios que siguen diciendo que la HD se queda corta y recurren a la vía de mandar las fotos como archivo adjunto (documento) para conservar la calidad original, tanto en Android como en iOS. Desde el punto de vista de la calidad de imagen, funciona. Pero desde la óptica de la privacidad, supone un peaje importante si olvidas que viajan metadatos incrustados.

Para reducir este riesgo, tienes varias opciones prácticas. La más directa pasa por desactivar el guardado de la ubicación en las fotos desde los ajustes de la cámara del móvil. Aunque cada fabricante lo coloca en un sitio distinto, en Android suele encontrarse en:

  • Abrir Configuración del dispositivo.
  • Ir a Aplicaciones y luego a Ajustes de aplicaciones del sistema.
  • Seleccionar Cámara.
  • Desactivar la opción “Guardar información de ubicación” o similar.

En iOS el camino habitual es ir a Ajustes > Privacidad > Localización > Cámara y escoger si permites o no que la app de cámara use tu ubicación. Al deshabilitarlo, las nuevas fotos dejarán de incluir coordenadas GPS, con lo que estarás eliminando uno de los datos más delicados de los metadatos.

Si te gusta tener la ubicación activada porque disfrutas de funciones como recordar en Google Fotos dónde estuviste o recibir sugerencias de imágenes al dejar reseñas en Maps, puedes optar por otra estrategia: evitar enviar fotos como documentos a personas que no sean de plena confianza. En esos casos, quédate con el envío estándar o el modo HD de WhatsApp, que ya quitan la mayor parte de EXIF sensible.

Otra posibilidad adicional es limpiar los metadatos desde un PC antes de compartir archivos. En Windows, por ejemplo, puedes hacer clic derecho sobre una imagen, entrar en Propiedades > Detalles y usar la opción “Quitar propiedades e información personal”, eligiendo qué datos mantener y cuáles borrar. También existen herramientas específicas como ExifTool que permiten eliminar todos los metadatos de forma masiva desde línea de comandos.

Buenas prácticas para minimizar el rastro de metadatos

Aunque no tienes control total sobre lo que WhatsApp y Meta recogen, sí puedes reducir bastante tu huella de metadatos siguiendo algunas recomendaciones sencillas en el día a día:

  • Usar una VPN fiable cuando te conectes desde redes públicas o cuando quieras ocultar tu ubicación aproximada basada en IP.
  • Limitar el uso de funciones que generan más información, como la ubicación en tiempo real o el envío continuo de archivos pesados si no es imprescindible.
  • Ser selectivo con fotos y vídeos que compartes, evitando enviar como documento imágenes tomadas en tu casa, lugar de trabajo o sitios sensibles.
  • Configurar permisos de localización en el móvil para que solo las apps que realmente lo necesitan accedan al GPS.
  • Valorar apps de mensajería con mayor foco en privacidad, como Signal, que tratan de minimizar la información de metadatos que almacenan.

Además, conviene recordar que, cuanta menos información personal publicas abiertamente en redes sociales, menos fácil será combinar esos datos con los metadatos de WhatsApp o de cualquier otro servicio para construir un perfil preciso sobre ti. No aceptar a desconocidos, no anunciar públicamente fechas exactas de viajes largos o no compartir detalles sensibles de tu rutina son pequeños gestos que marcan la diferencia. También puedes consultar qué información no compartir para reducir riesgos.

También es recomendable que las organizaciones —empresas, administraciones públicas, colegios profesionales— tomen conciencia de la sensibilidad de los metadatos cuando usan WhatsApp para comunicaciones formales. En algunos casos puede ser preferible recurrir a canales alternativos, cifrados y con una política de registro de datos mucho más restrictiva; para ello existen guías para mejorar la configuración de privacidad y seguridad en WhatsApp.

La clave está en interiorizar que cada mensaje, foto o llamada que haces por WhatsApp lleva un “envoltorio” de información adicional que dice cosas sobre ti, aunque tú no las veas. No se trata de vivir paranoico ni de dejar de usar la app, pero sí de entender los riesgos, ajustar bien los permisos del móvil, ser cuidadoso con a quién envías qué y, sobre todo, no regalar más datos de la cuenta por pura comodidad.

Cómo borrar los metadatos de una imagen
Artículo relacionado:
Cómo borrar los metadatos de una imagen: guía completa para proteger tu privacidad