En buena parte del mundo hispanohablante, WhatsApp ya no es solo una app más: es el lugar donde se organizan las comidas familiares, los grupos del trabajo, el fútbol del domingo y hasta las tareas del colegio. El truco que lo hizo tan popular es muy sencillo: si tienes el número de alguien, puedes ver al instante si usa WhatsApp y, de paso, su foto de perfil y a menudo su frase de estado. Esa comodidad ayudó a la plataforma a alcanzar unos 3.500 millones de cuentas. 
Pero la misma función que la vuelve tan práctica también la convierte en un enorme riesgo para la privacidad: en la práctica, el número de teléfono se comporta como un identificador casi público dentro de un gigantesco directorio global.
Un grupo de investigadores de seguridad en Austria decidió poner a prueba ese modelo. Y no lo hizo con un superhack de película, sino copiando exactamente lo que hace cualquier persona al añadir un contacto, pero a escala masiva. Alimentaron el sistema con miles de millones de números de teléfono y dejaron que el propio WhatsApp respondiera: esta línea tiene cuenta, esta no, aquí hay foto, aquí hay texto de perfil. Según sus resultados, lograron comprobar la existencia de cuentas asociadas prácticamente a todos los 3.500 millones de usuarios, ver la foto de perfil de alrededor del 57 % e incluso leer la frase del perfil en aproximadamente el 29 % de los casos.
Desde el punto de vista técnico, esto se llama enumeración: no se fuerza una puerta, simplemente se lanza una lluvia de preguntas de sí o no y se guardan las respuestas. La versión web del servicio, WhatsApp Web, fue la pieza clave. Durante años careció de límites estrictos sobre cuántas consultas se podían hacer por hora. Los investigadores llegaron a procesar en torno a 100 millones de números cada 60 minutos. Mantén ese ritmo durante varios días y dejas de hablar de curiosidad puntual: lo que se construye es un mapa global de quién está en WhatsApp, enriquecido con fotos y estados siempre que el usuario no haya cerrado esos datos en los ajustes de privacidad.
Algunos dirán que esto, en pequeño, siempre se ha podido hacer: se puede mandar un SMS a un número al azar o probar una dirección de correo y ver si rebota. Pero ahí es donde la comparación se rompe. Mirar una vez quién hay detrás de un número desconocido que te llamó es una cosa; montar un sistema automático que recorre miles de millones de combinaciones y vuelca la información en una base de datos gigantesca es otra completamente distinta. En esa escala industrial, la función de descubrir contactos deja de ser un detalle cómodo del producto y se convierte en una mina de oro para campañas de spam, estafas bancarias falsas, ingeniería social e incluso vigilancia por parte de Estados.
Lo más irritante para especialistas en privacidad es que nada de esto era una sorpresa total. Meta, la empresa matriz de WhatsApp, ya había sido avisada en 2017 por otro investigador de que la búsqueda de contactos sin frenos era un problema serio. El mensaje era claro: si no se limita el ritmo de consultas, cualquier actor bien organizado puede montar un listado inmenso de números activos en WhatsApp sin romper el cifrado ni robar bases de datos internas. Aun así, el comportamiento básico del sistema se mantuvo prácticamente igual durante años. En ese periodo, grupos de ciberdelincuentes, corredores de datos o servicios de inteligencia tuvieron margen de sobra para realizar operaciones similares sin llamar la atención.
Solo cuando el equipo austríaco volvió a documentar el problema y lo notificó formalmente, Meta empezó a reaccionar con más fuerza. A partir de abril se fueron aplicando límites de tasa más estrictos y, hacia octubre, el scraping masivo se volvió mucho más difícil. Es un avance importante: repetir hoy el experimento de los 3.500 millones de cuentas ya no es tan sencillo. Pero las correcciones de seguridad no viajan al pasado. Si tu número lleva años ligado a WhatsApp, no existe forma de saber si ya fue recogido, combinado con filtraciones de bancos, tiendas en línea o operadoras y terminado en algún paquete de datos a la venta en foros oscuros.
La respuesta pública de Meta se apoya en un argumento recurrente: toda la información a la que accedieron los investigadores sería, según la empresa, datos básicos y públicamente accesibles. Además, quienes configuraron su foto de perfil y su texto de estado como privados no habrían estado expuestos. Legalmente, el razonamiento puede sostenerse. Pero desde el punto de vista del usuario medio, la sensación es otra. Casi nadie registraría voluntariamente su número personal en una guía telefónica abierta en Internet. Cuando se introduce en un mensajero, la expectativa implícita es que el dato circule en un entorno limitado, no que sirva como llave para que terceros construyan un enorme buscador de personas.
No sorprende, entonces, que muchos usuarios cuenten historias parecidas: antes de usar WhatsApp de forma intensiva, apenas recibían llamadas comerciales o mensajes sospechosos; unos meses después, su número parece estar en todas las listas imaginables. Es imposible demostrar que cada llamada extra venga de ahí; también existen filtraciones en comercios, apps de juegos, bancos y casi cualquier servicio. Pero, visto desde el lado del atacante, WhatsApp es una pieza muy valiosa: una línea confirmada, asociada a una persona real y, en muchos casos, con foto y frase personal, vale mucho más que un número desnudo en un archivo de texto. Cruzar esos datos con otras filtraciones permite diseñar fraudes y campañas de phishing extremadamente creíbles.
Mientras tanto, quienes desconfían de la forma en que Meta trata la privacidad se encuentran en un conflicto conocido. Muchos preferirían mudarse a alternativas como Telegram o Signal, que suelen ser vistas como más transparentes o mejor auditadas. Pero incluso esas opciones generan dudas en algunos por el modelo de negocio, la infraestructura o la política de metadatos. Y, al final, pesa el efecto red: de poco sirve instalar Signal si tu familia, el grupo del cole de los niños, el equipo de trabajo y la peña del deporte siguen viviendo en WhatsApp. Salirse del verde, en la práctica, significa perder parte de la vida social y mucha comunicación cotidiana.
En el fondo, este caso deja una lección incómoda: no hizo falta un mega ataque para que 3.500 millones de cuentas de WhatsApp fueran explotables como fuente de información. Bastó con llevar al extremo una decisión de diseño muy concreta: tratar el número de teléfono como identificador universal y responder con demasiada generosidad a la pregunta de si ese número está en la plataforma. Los nuevos límites técnicos son bienvenidos, pero no resuelven el dilema de fondo. Cada vez que convertimos nuestro número en pasaporte para entrar en redes y servicios, asumimos que ese mismo dato puede terminar dibujando un mapa muy preciso de quiénes somos, con quién hablamos y cómo pueden encontrarnos.