- Un fallo en la verificación de contactos permitió enumerar 3.500 millones de números de WhatsApp.
- Los investigadores de Viena automatizaron consultas sin límite y alcanzaron cien millones de validaciones por hora.
- Meta fue avisada en abril y aplicó mitigaciones en octubre; los mensajes cifrados no se vieron afectados.
- Riesgos para usuarios en España y la UE: phishing, spam y perfilado; se recomiendan ajustes de privacidad estrictos.
En plena escalada de medidas de privacidad, un equipo académico ha demostrado que un fallo en la función de descubrir contactos de WhatsApp permitió comprobar a gran escala qué números estaban dados de alta en el servicio. El volumen es abrumador: los investigadores lograron identificar hasta 3.500 millones de teléfonos asociados a cuentas, reabriendo el debate sobre la exposición de datos visibles y su impacto en España y en el resto de Europa.
La investigación, atribuida a la Universidad de Viena y difundida por el diario Wired tras publicar los detalles técnicos en GitHub, se apoyó en la ausencia de límites estrictos a la hora de verificar números. Mediante procesos automatizados alcanzaron ritmos de validación cercanos a cien millones de comprobaciones por hora, algo imposible manualmente pero factible con software diseñado para tal fin.
Qué ha pasado y cómo se explotó el fallo
La base del problema reside en que WhatsApp permite consultar si un número usa la app, algo pensado para agregar nuevos contactos de forma sencilla. Al no existir una limitación suficientemente estricta de velocidad, fue posible probar combinaciones numéricas de manera masiva y registrar cuáles correspondían a cuentas activas, multiplicando el alcance de la recopilación.
El alcance no se quedó en los teléfonos: cuando el perfil lo permitía, también se accedió a datos catalogados por Meta como “básicos y públicos”, como la foto de perfil (en un 57 % de casos), estados (en torno al 29 %), el texto de “Info” e incluso el tipo de cuenta (personal o empresa). En ciertos supuestos, los investigadores mencionan la presencia de claves públicas y metadatos técnicos asociados, incrementando el valor del conjunto para usos maliciosos.
Por magnitud, algunos países destacaron especialmente. En India, el equipo afirmó haber identificado cerca de 750 millones de números, con una proporción relevante de perfiles mostrando foto pública. También localizaron cuentas en territorios donde la app está prohibida —como China o Irán—, algo que podría facilitar la identificación de usuarios por parte de autoridades si un tercero replicara esta técnica.
Los autores subrayan que actuaron bajo criterios éticos, eliminaron sus copias de los datos y notificaron a la compañía. Aun así, advierten que, de tratarse de un actor malintencionado, estaríamos ante la exposición de números más masiva documentada hasta la fecha, con un potencial de abuso notable.
La respuesta de Meta y los riesgos para usuarios en España y Europa
Según Wired, los investigadores avisaron a Meta en abril y la empresa asegura haber aplicado mitigaciones en octubre (controles más estrictos sobre consultas y menor exposición por defecto). Aun así, uno de los autores, Max Günther, dejó caer que si ellos pudieron extraer los datos con relativa facilidad, otros podrían haberlo hecho también antes de que se corrigiera.
No es la primera vez que se alerta sobre esta clase de enumeración. En 2017, el investigador Loran Kloeze describió una técnica similar para descubrir datos a gran escala mediante la verificación de números. Por entonces, la compañía —cuando aún operaba bajo la marca Facebook— defendió que la configuración de privacidad funcionaba como estaba diseñada, aunque el caso reabre el debate sobre los límites de lo “público”.
Conviene aclarar que los mensajes no estuvieron en juego: el cifrado de extremo a extremo sigue protegiendo el contenido de las conversaciones. El fallo explotado se centra en información visible y en la arquitectura basada en el número de teléfono como identificador, algo que facilita la enumeración sistemática si los controles de ritmo son laxos.
Para los usuarios en España y la Unión Europea, el principal riesgo pasa por el phishing y suplantación de identidad, además del perfilado publicitario no deseado. Dado que el número es un dato personal, el marco del RGPD y la supervisión de autoridades como la AEPD adquieren relevancia si se confirman impactos locales significativos; en todo caso, la prudencia dicta ajustar la exposición del perfil al mínimo necesario.
Si quieres reducir superficie de ataque, revisa privacidad y limita la visibilidad de tus datos. Algunas medidas son sencillas y muy eficaces, especialmente para quienes usan WhatsApp a diario en España o Europa y desean mínima huella pública.
- En Ajustes > Privacidad, establece Foto del perfil, Info y Última vez y en línea en “Solo contactos” o “Nadie”.
- Restringe quién puede añadirte a grupos y mantén la app actualizada para recibir correcciones de seguridad.
- Desconfía de mensajes inesperados que mencionen datos personales (nombre completo, cargo, etc.).
- Valora usar nombres de usuario si la función está disponible y evita publicar información sensible en tu estado.
La fotografía general que deja el caso es clara: una combinación de diseño centrado en el número de teléfono y controles de consulta insuficientes abrió la puerta a una recolección masiva que ya no puede ignorarse. Con las mitigaciones aplicadas y una vigilancia más estricta, la plataforma intenta cerrar esa vía, pero la responsabilidad individual —ajustes de privacidad y cautela ante mensajes sospechosos— sigue siendo clave para reducir riesgos.
