El agujero de seguridad de WhatsApp: un "simple" fallo deja expuestos 3.500 millones de números de teléfono

WhatsApp se ha convertido en el sistema nervioso central de la comunicación moderna. Con más de 3.500 millones de cuentas activas a principios de 2025, es la plataforma de mensajería más grande del planeta. Gran parte de su éxito se basa en su comodidad: añades un número de teléfono a tu agenda y la aplicación te dice al instante si esa persona está en el servicio. Es un mecanismo tan sencillo que, durante años, lo hemos dado por sentado. Pero un grupo de investigadores acaba de demostrar que esa misma sencillez es un agujero de seguridad de proporciones históricas.

Investigadores de la Universidad de Viena han revelado que, al repetir ese "simple" truco miles de millones de veces, pudieron extraer los números de teléfono de 3.500 millones de usuarios de WhatsApp, junto con información personal como fotos de perfil y textos de estado. La exposición de datos es tan masiva que, según los propios científicos, si no se hubiera realizado de forma ética y responsable, estaríamos hablando de la mayor filtración de información de la historia.

La debilidad: la enumeración masiva

El núcleo del problema no reside en un fallo de cifrado o en un hack complejo. El fallo es conceptual y se encuentra en la herramienta de descubrimiento de contactos de WhatsApp.

La plataforma permite a los usuarios consultar sus servidores con un número de teléfono para saber si existe una cuenta asociada. Los investigadores, utilizando un método de scraping a gran escala a través de la aplicación basada en navegador de WhatsApp, se limitaron a "enchufar" miles de millones de combinaciones de números posibles.

La sorpresa no fue que pudieran hacerlo, sino la velocidad y la ausencia de defensas que encontraron. Los investigadores pudieron verificar aproximadamente cien millones de números de teléfono por hora sin ser bloqueados o limitados por Meta .

El resultado de esta operación fue la extracción de:

• 3.500 millones de números de teléfono registrados en WhatsApp.
• Fotos de perfil del 57% de esos usuarios.
• El texto de estado de sus perfiles del 29% .

Esta cifra de 3.500 millones de cuentas supera con creces el número de usuarios expuestos en cualquier otra brecha de datos documentada.

Un problema advertido hace ocho años

Lo más preocupante de este incidente es que no es la primera vez que se advierte sobre esta vulnerabilidad de "enumeración de números". Ya en 2017, un investigador holandés llamado Loran Kloeze había escrito una entrada en su blog detallando la misma técnica y alertando sobre el riesgo de obtener números, fotos y el estado de conexión de los usuarios.

En aquel momento, Meta (entonces Facebook) desestimó las preocupaciones, argumentando que las configuraciones de privacidad funcionaban según lo previsto, permitiendo a los usuarios elegir quién podía ver sus fotos y estados .

Sin embargo, los investigadores de Viena no solo replicaron el trabajo de Kloeze, sino que lo llevaron al extremo. Al analizar los datos recopilados, demostraron que en países con una adopción masiva de WhatsApp, como la India, hasta el 62% de las cuentas tenían la foto de perfil expuesta públicamente . Esto demuestra que la dependencia de los usuarios para configurar la privacidad no es una defensa suficiente contra el scraping a esta escala.

Las consecuencias: más que spam

Meta ha agradecido a los investigadores por reportar el fallo a través de su sistema de recompensas (bug bounty) y ha confirmado que ya han implementado medidas de "rate-limiting" más estrictas para impedir la enumeración masiva . La compañía insiste en que no han encontrado pruebas de que "actores maliciosos" hayan explotado esta brecha.

Sin embargo, los riesgos potenciales de que esta información cayera en manos equivocadas son inmensos:

1. Ataques dirigidos y doxxing: la combinación del número de teléfono, la foto de perfil y el texto de estado (que a veces incluye enlaces a LinkedIn o Tinder) permite construir perfiles detallados, abriendo la puerta a estafas de ingeniería social de alta precisión.
2. Riesgo en países con prohibición: los investigadores encontraron millones de números activos en países donde WhatsApp está prohibido (como China y Myanmar). La exposición de estos números pone en riesgo a los usuarios que contravienen las leyes locales al usar la aplicación, con potenciales "serias consecuencias".
3. Longevidad de las filtraciones: El estudio demostró que el 58% de los números filtrados en la brecha de Facebook de 2021 siguen activos hoy en WhatsApp Esto subraya que la información personal, una vez expuesta, sigue siendo válida y útil para los atacantes durante años.

La debilidad fundamental del número de teléfono

El trabajo de los investigadores de la Universidad de Viena no solo apunta a una falta de límites de velocidad en la API, sino a un problema de diseño más profundo: la dependencia del número de teléfono como identificador único.

Según Aljosha Judmayer, uno de los investigadores: "Los números de teléfono no fueron diseñados para ser utilizados como identificadores secretos para cuentas, pero así es como se usan en la práctica" .

En esencia, para una plataforma con miles de millones de usuarios, un identificador con tan poca aleatoriedad como un número de teléfono requiere una defensa constante y perfecta de "rate-limiting". Y cualquier error en ese control se traduce en una potencial exposición de datos a escala global.

Aunque WhatsApp ya está probando una función de nombres de usuario en versión beta (un enfoque que podría mejorar la privacidad), este incidente es un recordatorio de que la conveniencia de encontrar a tus contactos al instante tiene un precio muy alto cuando las defensas de seguridad fallan.