WhatsApp, considerada la herramienta de mensajería más usada a nivel mundial, continúa incorporando funciones destinadas a reforzar la privacidad de sus millones de usuarios. Sin embargo, recientemente salió a la luz una falla que habría permitido la recopilación de 3.500 millones de números telefónicos junto con la información visible en los perfiles.
Un grupo de informáticos de la Universidad de Viena (Austria) consiguió evidenciar que el mecanismo de descubrimiento de contactos de WhatsApp —basado en añadir un número a la agenda para que la aplicación confirme al instante si el usuario está registrado— hacía posible recopilar información privada a gran escala.
De acuerdo con el diario WIRED, la investigación permitió a los técnicos del grupo de Seguridad y Privacidad de la Universidad de Viena aprovechar una falla que les dio acceso a más de 100 millones de números de teléfono sin que WhatsApp aplicara bloqueos o límites. Durante las pruebas, también confirmaron que podían visualizar las fotos de perfil de más de la mitad de los usuarios consultados y, en cerca de un tercio, los textos de sus biografías públicas.
Los millones de números fueron detectados en países como Brasil, así como lugares donde WhatsApp está prohibido, como China y Myanmar.
¿Qué dice WhatsApp al respecto?
Una filtración de esta magnitud podría afectar a una de las plataformas de mensajería más populares del mundo, con implicaciones directas para la privacidad de miles de millones de usuarios. Aunque Meta, empresa responsable de WhatsApp, admitió el fallo y afirmó haber aplicado correcciones en el mes de octubre, la compañía insistió en que la información expuesta era “básica y de acceso público”. No obstante, estos datos podrían revelar aspectos sensibles sobre las personas involucradas.
Además, en declaraciones a WIRED, Meta agradeció al equipo de la Universidad de Viena por reportar la vulnerabilidad a través de su programa de “recompensas por errores”. Nitin Gupta, vicepresidente de ingeniería de WhatsApp, señaló que la empresa ya estaba desarrollando sistemas avanzados contra el raspado automatizado y que este estudio resultó clave para validar la eficacia inmediata de esas nuevas defensas.
Gupta también afirmó que no existen indicios de que actores maliciosos hayan explotado este método de extracción de datos. Además, recordó que los mensajes intercambiados entre los usuarios permanecieron protegidos por el cifrado de extremo a extremo que WhatsApp aplica por defecto, por lo que ningún contenido no público estuvo al alcance de los investigadores durante sus pruebas.
Sin embargo, previo a la corrección del problema, cualquier individuo con conocimientos técnicos mínimos podía haber replicado la técnica de “raspado” utilizada por los investigadores, según explicó Max Günther, coautor del estudio: “Si nosotros pudimos recuperar estos datos con suma facilidad, otros podrían haber hecho lo mismo”.
De acuerdo con WIRED, la vulnerabilidad permaneció activa durante varias semanas antes de ser reportada, un periodo suficientemente amplio para que terceros con intenciones maliciosas —como técnicas de phishing, spam masivo o venta datos en la dark web— explotaran la brecha sin restricciones.
Esta no sería la primera vez que WhatsApp recibe este tipo de advertencias sobre la posibilidad de que terceros explotaran la enumeración de números telefónicos y accedieran a datos visibles de los perfiles. En 2017, el investigador neerlandés Loran Kloeze publicó en su blog que este método permitía obtener no solo números y fotos de perfil, sino también información como los horarios en los que un usuario aparecía conectado, una señal temprana de que el sistema de descubrimiento de contactos podía facilitar filtraciones masivas.
Tampoco es la primera ocasión en la que el equipo de la Universidad de Viena identifica fallas en servicios de mensajería. En trabajos previos ya habían detectado debilidades en los mecanismos de privacidad y cifrado tanto de WhatsApp como de Signal. De acuerdo con especialistas, análisis recientes muestran que casi la mitad de los números involucrados en la gran filtración de Facebook de 2021 —que expuso datos de aproximadamente 500 millones de cuentas— siguen activos en WhatsApp, lo que subraya la persistencia de riesgos para la seguridad de los usuarios.