WhatsApp tardó seis meses en cerrar un agujero de seguridad que dejó al descubierto tu número, foto de perfil y datos de 3.500 millones de usuarios. Investigadores austriacos demostraron que cualquiera podía extraer estos datos con búsquedas automáticas en la aplicación web, sin barreras técnicas. La técnica es tan básica que aterra: introducir millones de números al azar hasta conseguir el tuyo.
El problema se reportó a Meta en abril de 2025, pero la solución llegó en octubre. Durante esos seis meses, tu información estuvo disponible para cualquiera con conocimientos técnicos básicos. El hallazgo revela que WhatsApp no aplicaba límites reales a búsquedas masivas, convirtiendo su función de «encontrar contactos» en una herramienta de vigilancia global lista para gobiernos represivos, estafadores y spammers.
Cómo funciona el fallo que dejó tu número al descubierto
Investigadores de la Universidad de Viena extrajeron 3.500 millones de números mediante scraping. El método: introducir todos los números posibles en la búsqueda de contactos de WhatsApp Web hasta dar con usuarios activos. La aplicación mostraba al instante si ese número tenía cuenta, junto con foto de perfil y estado en el 57% de casos.
La velocidad alcanzó 100 millones de números por hora. Sin límites ni barreras, completaron el mapeo global en semanas. Meta asegura que trabajaba en defensas avanzadas, pero cualquiera pudo replicar esta técnica sin esfuerzo durante años.
El fallo ya se reportó en 2017. El investigador holandés Loran Kloeze advirtió del riesgo de combinar scraping con reconocimiento facial. Meta respondió que la privacidad funcionaba «como estaba diseñada» y no recompensó el hallazgo. Ocho años después, el problema seguía intacto.
Por qué esto es una crisis de seguridad real
El impacto varía dramáticamente según el país. En Estados Unidos, donde se recopilaron 137 millones de números, el 44% mostraba fotos públicas y el 33% incluía texto de estado. Las cifras empeoran donde WhatsApp domina completamente.
Los datos más críticos se concentran en cuatro puntos:
- India: 750 millones de números expuestos, con 62% mostrando fotos públicas debido a configuraciones por defecto que nadie revisa.
- Brasil: 206 millones filtrados, 61% con fotos visibles, segundo mercado más vulnerable por volumen absoluto.
- España: Decenas de millones afectados con metadatos accesibles, aunque sin desglose europeo exacto en el informe.
- China y Myanmar: 2.3 y 1.6 millones respectivamente, usuarios que violan prohibiciones oficiales y arriesgan represalias gubernamentales.
Frente a esto, estafadores y spammers buscan estas bases masivas de objetivos verificados. Pero el riesgo político es peor: en países con WhatsApp prohibido, gobiernos pudieron identificar y perseguir disidentes. En China hay reportes de musulmanes detenidos por tener la app instalada.
Las consecuencias van más allá de tu número
El problema no se limita a metadatos visibles. Los investigadores analizaron claves criptográficas de 3.500 millones de cuentas, las cadenas que permiten recibir mensajes cifrados. Descubrieron claves duplicadas alarmantes: algunas se reutilizaban cientos de veces, y 20 números estadounidenses usaban una clave compuesta solo por ceros.
Aunque Meta mantiene que los mensajes siguen protegidos, la duplicación de claves es crítica. Cualquiera con tu misma clave podría descifrar mensajes enviados a tu cuenta. Los investigadores atribuyen esto a clientes no oficiales vinculados a estafas masivas.
| Tipo de exposición | Dato | Impacto |
|---|---|---|
| Números extraídos | 3.500 millones | Total usuarios WhatsApp |
| Fotos visibles | 57% | ~2.000 millones |
| Estado público | 29% | ~1.015 millones |
| Claves duplicadas | Cientos | Riesgo descifrado |
El testimonio es contundente: «Si no fuera parte de un estudio responsable, sería la mayor filtración de datos de la historia«. Meta respondió que la información es «básica y pública», ignorando que la escala convierte datos triviales en vigilancia masiva.
Por qué los números nunca debieron ser identificadores
El hallazgo revela un problema estructural: los números de teléfono carecen de aleatoriedad necesaria para funcionar como identificadores únicos con miles de millones de usuarios. A diferencia de nombres de usuario aleatorios, los números siguen patrones predecibles que facilitan enumeración masiva.
La limitación de frecuencia queda como única barrera contra scraping. Pero esa defensa nunca será completamente segura si Meta prioriza facilitar que usuarios encuentren contactos. Es un dilema: o facilitas descubrimiento, o proteges privacidad a escala.
El investigador Aljosha Judmayer lo resume: «Los números no se diseñaron como identificadores secretos, pero así se usan. Si tu servicio usa más de un tercio de la población mundial y este es el mecanismo de descubrimiento, eso es un problema». Meta prueba nombres de usuario en beta, pero la transición será lenta.
Este cambio revela algo sobre apps de mensajería en 2026: la comodidad del usuario choca frontalmente con seguridad real. WhatsApp apostó por facilidad durante una década, y el precio fue convertir cada número del planeta en dato semipúblico.
Qué pasos tomar ahora mismo
Mirando adelante, la solución está implementada desde octubre de 2025: Meta aplicó límites estrictos que impiden scraping masivo. Pero el daño persiste. Si tus datos se extrajeron entre 2017 y octubre de 2025, esa información puede circular en bases de terceros.
| Actor | Acción | Timeline |
|---|---|---|
| Usuarios | Revisar privacidad (foto, estado, última conexión) | Hoy |
| Usuarios | Activar verificación dos pasos | Esta semana |
| Meta | Migrar a nombres de usuario | 2026-2027 |
| Reguladores | Auditar defensas antiscraping | Próximos meses |
Cambia ahora tu foto de perfil a «Mis contactos» o «Nadie». Limita quién ve tu estado y última conexión. Activa verificación en dos pasos en Ajustes > Cuenta > Verificación en dos pasos. Estos cambios no borran exposición pasada, pero reducen tu superficie de ataque futura.
Para Meta, el próximo paso es acelerar migración hacia nombres de usuario opcionales, desvinculando progresivamente el número como identificador principal. El episodio deja claro que cuando una app maneja 3.500 millones de personas, un «fallo simple» se convierte en la mayor exposición de información personal jamás documentada.
