Descubren una grave vulnerabilidad en WhatsApp que permitió enumerar 3.500 millones de cuentas

Un equipo de investigadores de la Universidad de Viena y SBA Research reveló una vulnerabilidad de privacidad en el sistema de búsqueda de contactos de WhatsApp que permitió confirmar la existencia de 3.500 millones de cuentas en todo el mundo. El fallo, que ya fue corregido por Meta, demuestra cómo incluso funciones cotidianas —como sincronizar la agenda de contactos— pueden convertirse en un riesgo global cuando no están protegidas adecuadamente.

La vulnerabilidad estaba en el mecanismo que utiliza WhatsApp para verificar qué números de teléfono están registrados en la plataforma. En condiciones normales, este proceso ocurre en segundo plano cuando un usuario instala la aplicación y concede acceso a su agenda. Pero los investigadores descubrieron que podían enviar solicitudes automatizadas a una velocidad extremadamente elevada, mucho mayor de lo que debería tolerar un servidor diseñado para evitar abusos.

Mediante esta técnica, lograron consultar más de 100 millones de números por hora sin que WhatsApp activara bloqueos ni límites de seguridad. A partir de ahí, pudieron confirmar qué números estaban asociados a cuentas activas, lo que les permitió elaborar un mapa global de usuarios distribuidos en 245 países. La escala del hallazgo es inédita: nunca antes se había demostrado que era posible enumerar la base de usuarios de WhatsApp con tal precisión.

Aunque no se accedió a mensajes ni a contenido privado —que siguen protegidos por cifrado de extremo a extremo—, sí era posible obtener ciertos metadatos públicos vinculados a cada número. Entre ellos se incluyen la clave pública, la fecha aproximada de creación de la cuenta, la foto de perfil si estaba configurada como pública, y el mensaje de estado. Con ese conjunto limitado de información, los investigadores pudieron inferir otros detalles, como qué sistema operativo usaba cada usuario o cuántos dispositivos tenía vinculados.

El análisis también reveló patrones curiosos. Por ejemplo, millones de cuentas activas pertenecían a usuarios de países donde WhatsApp está oficialmente prohibido, como China, Irán o Myanmar. También encontraron casos aislados de reutilización de claves criptográficas, lo que sugiere problemas en clientes no oficiales de WhatsApp o en configuraciones incorrectas realizadas por los propios usuarios.

Uno de los hallazgos más preocupantes fue la coincidencia entre números filtrados en la brecha de datos de Facebook de 2021 y usuarios que siguen activos en WhatsApp. Cerca de la mitad de esos números continúan funcionando hoy, lo que implica un riesgo persistente para quienes fueron expuestos en aquella filtración, especialmente frente a campañas de fraude telefónico o intentos de suplantación.

Los investigadores subrayan que su estudio no implicó acceder a datos privados ni romper cifrado alguno. Todo el proceso se basó en información pública accesible para cualquier persona que conociera un número de teléfono, pero explotada a una escala muy superior a lo que WhatsApp había previsto. Meta colaboró con el equipo para cerrar la brecha, reforzar sus defensas contra el scraping y bloquear patrones de actividad similares.

Según la compañía, no hay evidencia de que grupos maliciosos hayan utilizado este método antes de que se corrigiera la vulnerabilidad. Aun así, el caso demuestra un problema más amplio: incluso los servicios de mensajería más extendidos y considerados seguros pueden contener fallos estructurales que pasan desapercibidos durante años.

Para los investigadores, la lección es clara: la seguridad no es un estado final, sino un proceso continuo. Conforme las plataformas crecen y sus funciones se vuelven más complejas, aumenta también la superficie de ataque. El equipo presentará los resultados completos en el Simposio NDSS de 2026, uno de los eventos más importantes del mundo en ciberseguridad.

La investigación sirve como recordatorio de que la protección de la privacidad depende no solo del cifrado de los mensajes, sino también de cómo se gestionan los metadatos y las funciones de red. En plataformas con miles de millones de usuarios, incluso un pequeño desajuste puede convertirse en un problema global.