El ecosistema de mensajería más popular del mundo ha afrontado un revés: una vulnerabilidad en el sistema de descubrimiento de contactos de WhatsApp permitió verificar de forma automatizada qué números de teléfono tenían cuenta activa, afectando a 3.500 millones de registros en 245 países.
Aunque el cifrado de extremo a extremo no se vio comprometido, el hallazgo evidencia cómo los metadatos pueden revelar más de lo que parece. La compañía matriz, Meta, introdujo contramedidas y endureció el “rate limiting” tras ser alertada por el equipo de investigación.
Qué ha pasado exactamente
Un grupo de investigadores de la Universidad de Viena y la Universidad Técnica de Viena probó la función de descubrimiento de contactos enviando a la API de WhatsApp conjuntos masivos de números generados automáticamente, confirmando altas a una velocidad de hasta 7.000 consultas por segundo y sesión.
Las pruebas se realizaron desde una única dirección IP y con cinco cuentas sin bloqueos automáticos, lo que permitió consolidar un censo global de usuarios que superaba las cifras públicas históricamente comunicadas por el servicio.
Además de la verificación binaria (está/no está en WhatsApp), el equipo aprovechó interfaces complementarias para obtener datos no sensibles de las cuentas, siempre dentro de la información visible, como marcas de tiempo, imagen de perfil e indicadores técnicos del entorno.
Qué información quedó expuesta
La investigación no accedió a mensajes ni a contenidos privados, pero sí a metadatos visibles vinculados a cada número: sistema operativo predominante, antigüedad aproximada, cantidad de dispositivos vinculados y, cuando el usuario no lo había restringido, foto de perfil y el texto del apartado “Acerca de”.
Con el análisis agregado, los investigadores estiman que Europa representa en torno al 18% de la base de usuarios de WhatsApp. En el continente predomina Android (64%) frente a iOS (36%), mientras que Asia sería el mayor mercado, con alrededor del 47% del total.
El equipo también detectó patrones técnicos llamativos, incluidos casos de repetición de claves públicas asociados a clientes no oficiales, algo que no rompe el cifrado de WhatsApp pero sí plantea riesgos añadidos para quienes usan aplicaciones de terceros.
Respuesta de WhatsApp y cambios aplicados
Los investigadores notificaron el problema de manera responsable y colaboraron con la empresa para implementar medidas. Meta reforzó sus defensas contra automatizaciones, aplicó limitaciones de velocidad más estrictas y revisó controles para detectar intentos de scraping a gran escala.
La compañía afirmó no haber observado evidencias de abuso malicioso de este vector y subrayó que los datos visibles dependían de la configuración de privacidad de cada usuario. Los responsables del estudio eliminaron los conjuntos de datos tras finalizar el análisis.
El caso se suma a advertencias previas sobre el uso del número de teléfono como identificador principal, y cuestiona si WhatsApp es realmente seguro. Ya en años anteriores se sugería que, sin salvaguardas adicionales, la enumeración masiva podía llegar a ser viable.
Riesgos y cómo protegerte
La principal amenaza es el uso de los números confirmados para spam, smishing o campañas de phishing, así como la elaboración de bases de datos con fines comerciales o de vigilancia.
Si usas WhatsApp en España o en cualquier país de la UE, conviene reforzar la privacidad: limita quién puede ver tu foto de perfil y el texto “Acerca de”, revisa “Última hora” y “Visto por última vez”, desactiva la visibilidad de datos a desconocidos y evita clientes no oficiales.
Activa la verificación en dos pasos, desconfía de mensajes que pidan códigos o datos personales y bloquea números desconocidos cuando sospeches. Ante un intento de suplantación, reporta dentro de la app y, si procede, denuncia ante la AEPD u organismos de consumo.
Impacto en España y Europa
En un mercado como el español, donde WhatsApp es omnipresente, la posibilidad de enumerar cuentas a gran escala incrementa el riesgo de llamadas automatizadas, listas de spam y fraudes dirigidos por segmentos.
Para administraciones y empresas europeas, el incidente refuerza la necesidad de controles internos y de respetar el marco del RGPD, minimizando datos, aplicando principios de “privacidad por defecto” y auditando el uso de canales de mensajería en comunicaciones sensibles. El episodio también recuerda riesgos como el espionaje masivo y la importancia de políticas claras.
A futuro, la reducción de la dependencia del número de teléfono como identificador —por ejemplo, con nombres de usuario— y la extensión de controles antienumeración más agresivos pueden limitar este tipo de abusos sin sacrificar la facilidad de uso.
El episodio deja varias lecciones: un diseño cómodo puede abrir la puerta a abusos a gran escala, los metadatos importan (y mucho) y la colaboración entre academia e industria acelera las correcciones; con las medidas ya aplicadas, toca a los usuarios ajustar su privacidad y a las instituciones exigir buenas prácticas para evitar recaídas.
