WhatsApp enfrenta una de las filtraciones de datos más grandes jamás registradas: un equipo de la Universidad de Viena logró extraer hasta 3.500 millones de números de teléfono de usuarios gracias a una vulnerabilidad grave en el sistema que utiliza la app para descubrir contactos. El hallazgo, descrito por los investigadores como la exposición más extensa de números y datos de usuario documentada, pone bajo la lupa la privacidad de miles de millones de personas que dependen del servicio de mensajería más usado del mundo.

Según el estudio, la falla permitía automatizar el proceso de verificación de contactos para saber si cualquier número estaba registrado en WhatsApp y, a partir de ahí, recolectar información asociada. Esto no solo incluyó teléfonos, sino también fotos de perfil (en el 57% de los casos) y textos públicos (en el 29%). El impacto fue global: India y Brasil fueron algunos de los países más afectados, y se encontraron millones de registros incluso en naciones donde la app está prohibida, como China y Myanmar.

Cómo explotaron la vulnerabilidad

El equipo encabezado por Aljosha Judmayer, Max Günther y Gabriel Gegenhuber demostró que era posible realizar un ataque de “enumeración”, un mecanismo que automatiza la búsqueda de contactos a gran escala. Así confirmaron qué números existían en la plataforma y accedieron a información pública de cada cuenta.

Los investigadores advirtieron que este tipo de datos puede ser usado para armar bases que alimenten campañas de estafas, spam y phishing, un riesgo que crece cada año en todo el mundo.

Respuesta tardía de Meta

Meta fue notificada del problema en abril de 2025, pero recién aplicó una solución —un control de “rate-limiting” más estricto— en octubre. Desde la empresa remarcaron que el cifrado de extremo a extremo mantuvo siempre protegida la mensajería privada y que no hay evidencia de un uso malicioso de la vulnerabilidad.

Nitin Gupta, vicepresidente de ingeniería de WhatsApp, agradeció la colaboración del equipo austríaco y afirmó que los datos recolectados fueron eliminados de forma segura. También aseguró que las nuevas defensas contra la automatización ya están activas.

Sin embargo, los especialistas señalaron que la falla era conocida desde 2017 y que Meta la había descartado en aquel momento. El estudio concluye que el problema es estructural: usar el número de teléfono como único identificador en una plataforma de miles de millones de usuarios es intrínsecamente inseguro.

Como advertencia final, el análisis detectó además que varias claves criptográficas asociadas a cuentas aparecían duplicadas o incluso compuestas solo por ceros, algo que podría indicar el uso de clientes no oficiales y un potencial riesgo de seguridad adicional.