Para millones de personas en España y Latinoamérica, WhatsApp no es solo otra app del móvil: es el lugar donde vive la vida diaria. Ahí están los grupos de la familia, del trabajo, del cole, del barrio, los chismes y hasta las conversaciones más íntimas. Precisamente por eso, cualquier fallo de seguridad en la plataforma no es un detalle técnico, es un terremoto. 
Y eso es lo que acaba de demostrar un equipo de investigadores austríacos: durante años fue posible averiguar de forma masiva qué números de teléfono estaban registrados en WhatsApp y, a partir de ahí, construir una gigantesca guía global de usuarios. En total, consiguieron asociar 3.5 mil millones de números a cuentas reales. Estadísticamente, el tuyo podría estar en esa lista.
La parte inquietante no es solo la magnitud del hallazgo, sino lo sencillo que era explotar la debilidad. Piensa en cómo funciona WhatsApp normalmente: guardas un número en la agenda o lo escribes en el buscador del app, y el sistema te dice al instante si esa persona tiene cuenta y te muestra su nombre y su foto de perfil, si están visibles. Es cómodo, rápido y forma parte de la experiencia básica. Ahora imagina que, en vez de hacerlo de vez en cuando con un contacto real, un programa automatizado prueba millones de números uno tras otro, como si fuera una ruleta gigantesca. Eso fue lo que hicieron los investigadores: utilizaron exactamente la misma función que usa cualquier usuario, pero a escala industrial.
Al analizar la implementación del cifrado de extremo a extremo de WhatsApp, el equipo de la Universidad de Viena decidió mirar también lo que ocurre alrededor de los mensajes: cómo se descubren los contactos, qué metadatos se generan y cómo están configurados los límites del sistema. Ahí encontraron la grieta. El mecanismo que responde a la pregunta “¿este número usa WhatsApp?” no estaba protegido por un límite estricto de peticiones, el famoso rate limiting. En servicios bien diseñados, este tipo de freno evita que alguien bombardeé el servidor con consultas automáticas. En WhatsApp, durante años, ese freno fue débil o prácticamente inexistente.
En un experimento controlado, los investigadores consiguieron comprobar unos 30 millones de números de Estados Unidos en aproximadamente media hora, simplemente cambiando secuencialmente el número que se consultaba. El servidor respondía obediente: sí, este tiene WhatsApp; no, este no. Repitiendo la técnica con diferentes rangos y países, terminaron con una base de datos que asociaba 3.5 mil millones de teléfonos a cuentas activas. Todo eso con herramientas bastante estándar y sin necesidad de vulnerar el cifrado de los mensajes ni “hackear” servidores en el sentido clásico.
Y no se trataba solo de un listado anónimo. Las configuraciones de privacidad de muchos usuarios eran lo bastante abiertas como para añadir mucha más información a cada registro. Aproximadamente el 57 % de esas cuentas tenían la foto de perfil visible para todo el mundo, no solo para los contactos guardados. Eso significa que un script podía descargar millones de fotos en cuestión de horas. Además, cerca del 29 % mostraba también el texto de perfil o el estado para cualquier persona. Con esos elementos, cada entrada dejaba de ser un simple número: se convertía en un pequeño retrato digital con nombre, imagen e incluso pistas sobre la ciudad, el trabajo, el equipo de fútbol o el estado de ánimo del usuario.
En manos de académicos, este material sirvió sobre todo para demostrar la gravedad del problema de diseño. En manos de ciberdelincuentes, el mismo procedimiento sería un arma perfecta. Una base de millones de números verificados como usuarios de WhatsApp, junto con fotos y descripciones, permite campañas de phishing muy afinadas: mensajes que parecen venir de un banco local, de una empresa de reparto de tu zona, de un supuesto compañero de trabajo o de un contacto que “ya te conoce”. Los atacantes podrían segmentar por país, por código de área, por idioma, por edad aproximada o incluso por género estimado a partir de la foto, y con eso construir estafas casi a medida.
Lo que vuelve todo esto todavía más delicado es la línea temporal. Según los investigadores, la matriz de WhatsApp, Meta, fue advertida de un problema muy similar en 2017 por otro grupo de expertos. Es decir, la idea de que la búsqueda por número puede convertirse en una máquina de recolectar datos no era nueva. Aun así, durante años el comportamiento básico del sistema apenas cambió. La comodidad de descubrir contactos al instante pareció pesar más que la necesidad de cerrar la puerta a los abusos masivos. Es difícil no preguntarse qué hizo Meta en todo ese tiempo y cuánto tardó en tomarse realmente en serio el aviso.
En abril de este año, el equipo de Viena envió a la compañía un informe detallado con cifras, ejemplos y escenarios de ataque muy concretos. Su mensaje era claro: el cifrado de extremo a extremo protege lo que se dice dentro de los chats, pero no hace milagros si todo lo que rodea a esos mensajes se deja demasiado expuesto. Metadatos, mecanismos de búsqueda, ajustes por defecto: todo eso también forma parte de la seguridad. Ignorar esa capa es como poner una puerta blindada en casa y dejar las ventanas abiertas.
Solo en octubre Meta introdujo cambios significativos en WhatsApp, activando límites de frecuencia mucho más estrictos para las consultas de descubrimiento de contactos. Si funcionan como promete la empresa, deberían dificultar o directamente impedir que alguien repita el experimento a gran escala. Los investigadores aseguran que han eliminado su propia base de datos de forma segura. Pero hay una pregunta que seguirá en el aire: ¿cuántos actores menos transparentes aprovecharon la misma debilidad en silencio durante los últimos años y qué volumen de información ya está circulando por foros y mercados clandestinos?
Al comparar con otros servicios, se ve que este tipo de error no es inevitable. Signal, el competidor más conocido en el terreno de la privacidad, implementó desde el inicio controles de rate limiting mucho más agresivos y una política clara de minimizar metadatos. Incluso si alguien dispone de una lista de números, no puede bombardear sus servidores sin toparse con bloqueos. Además, la app ofrece funciones como el desvío de llamadas a través de sus propios servidores para ocultar la dirección IP del usuario y opciones de bloqueo de capturas de pantalla en chats, todo pensado para reducir la huella digital que se deja en cada interacción.
Meta, por su parte, arrastra un historial que no ayuda a calmar los ánimos. En 2021 se hizo pública una enorme filtración de datos de unos 530 millones de cuentas de Facebook. También en ese caso, los atacantes aprovecharon una función oficial de búsqueda por número de teléfono para ir raspando la información disponible de millones de perfiles. Lo que empezó como una herramienta para encontrar amigos terminó convertida en un aspirador de datos personales. La similitud de patrones entre lo que ocurrió con Facebook y lo que se ha descubierto ahora en WhatsApp es difícil de ignorar.
¿Qué significa todo esto para quien sigue usando WhatsApp a diario? El riesgo inmediato de que alguien vuelva a recolectar miles de millones de números en cuestión de días es menor gracias a los nuevos límites, pero la lección es clara: conviene revisar las opciones de privacidad. Restringir la foto de perfil y el texto de estado solo a tus contactos, o incluso a nadie, es un buen comienzo. Desconfiar de mensajes que piden datos sensibles, aunque parezcan muy personalizados, es otro paso básico. Que alguien sepa tu nombre, tu ciudad o tu operador de telefonía ya no es garantía de que sea una persona cercana; podría ser simplemente fruto de un buen scraping.
También aparece la pregunta de fondo: ¿hasta qué punto confías en que una empresa como Meta priorice tu privacidad frente a su propio modelo de negocio? Para muchos usuarios, abandonar WhatsApp no es viable porque todos sus círculos sociales y profesionales dependen de él. Otros optan por un enfoque híbrido: mantienen WhatsApp para grupos grandes, avisos rápidos y conversaciones poco sensibles, y reservan servicios más privados como Signal para temas personales o delicados. No existe una respuesta única, pero sí una conclusión evidente: el icono de cifrado no lo es todo. La verdadera seguridad depende de cómo se diseñan las funciones “invisibles” del servicio y de la rapidez con la que se corrigen las grietas cuando alguien las señala.
1 comentario
Meta siempre igual: primero recopila todo, luego se filtra, y al final dicen que era comportamiento esperado 🙄