Una investigación de la Universidad de Viena confirmó que WhatsApp enfrentó una de las mayores filtraciones de datos documentadas hasta ahora: una falla en su sistema de descubrimiento de contactos permitió recolectar los números telefónicos de 3.500 millones de cuentas, además de fotos de perfil y textos visibles para otros usuarios.
La vulnerabilidad y cómo quedó expuesta
El equipo conformado por Aljosha Judmayer, Max Günther y Gabriel Gegenhuber descubrió que era posible automatizar la verificación de si un número estaba registrado en la plataforma. Al repetir este proceso de forma masiva, lograron extraer números de teléfono y, en muchos casos, imágenes y mensajes configurados como públicos.
Te podría interesar
Los investigadores detallaron que pudieron obtener fotos de perfil en el 57% de los casos analizados, y textos públicos en el 29%. “Se trata de la exposición más extensa de números de teléfono y datos de usuario relacionada que se haya documentado”, afirmó Judmayer.
Un impacto que abarca a varios países
Los datos recolectados muestran la magnitud global de la falla.
- En Estados Unidos, de 137 millones de números extraídos, el 44% tenía imagen de perfil y el 33% textos visibles.
- En India, donde WhatsApp supera los 750 millones de usuarios, el 62% expuso fotos.
- En Brasil, de 206 millones de cuentas relevadas, el 61% mostró imágenes públicas.
El estudio también identificó millones de números en regiones donde la app está prohibida, como China (2,3 millones) y Myanmar (1,6 millones), lo que podría incrementar riesgos de persecución estatal contra quienes utilizan servicios bloqueados.
Respuesta de Meta
Meta, empresa responsable de WhatsApp, fue notificada en abril y aplicó en octubre nuevas restricciones de velocidad (rate-limiting) para impedir la recolección masiva mediante este método.
Nitin Gupta, vicepresidente de ingeniería de WhatsApp, aseguró que la compañía no detectó indicios de un uso malicioso de esta vulnerabilidad. Indicó además que los mensajes permanecieron protegidos por el cifrado de extremo a extremo y que los investigadores “nunca accedieron a datos no públicos”.
Según informó Wired, Meta agradeció el reporte enviado a través del programa de recompensas por errores y señaló que la información expuesta correspondía únicamente a datos configurados como públicos.
Los especialistas de Viena, sin embargo, remarcaron que no encontraron barreras técnicas relevantes durante la extracción y recordaron que una advertencia similar ya había sido hecha en 2017 por el investigador holandés Loran Kloeze, sin que entonces se aplicaran medidas correctivas suficientes.
Consecuencias y riesgos asociados
El estudio advierte que la exposición no se limita a números de teléfono: los datos podrían ser utilizados para construir bases destinadas a estafas, campañas de spam o incluso para identificar usuarios en países con restricciones, como ocurrió en China.
Además, al analizar las claves criptográficas de las 3.500 millones de cuentas, los investigadores detectaron repeticiones que podrían permitir a terceros descifrar mensajes. Algunas claves se reutilizaban cientos de veces y, en 20 números de Estados Unidos, estaban compuestas únicamente por ceros, lo que podría indicar el uso de aplicaciones no autorizadas o actividades fraudulentas.
Un problema estructural en la identificación por teléfono
El trabajo concluye que basar la identidad de los usuarios en números telefónicos —un recurso predecible y fácil de automatizar— favorece la recolección masiva de datos. Si bien las nuevas limitaciones aplicadas por Meta reducen el riesgo, los especialistas advierten que no garantizan una protección completa mientras la función de descubrimiento de contactos siga siendo tan accesible.