Un estudio de la Universidad de Viena ha revelado cómo una funcionalidad legítima de WhatsApp se convirtió en un poderoso vector de recolección masiva de datos. Mediante la función de búsqueda por número de teléfono, los investigadores lograron confirmar en laboratorio la existencia de más de 3,5 mil millones de cuentas activas, configurando uno de los mayores casos documentados de exposición de metadatos en la historia de la mensajería instantánea.
Cómo funcionó la vulnerabilidad en WhatsApp: enumeración y ausencia de límites efectivos
El núcleo de la vulnerabilidad no fue un fallo de cifrado, sino el abuso a gran escala de una característica básica: el buscador de usuarios por número de teléfono. Esta función, presente desde hace años, permitió llevar a cabo un ataque de enumeración de números, es decir, probar automáticamente grandes volúmenes de teléfonos hasta identificar cuáles están asociados a cuentas reales de WhatsApp.
Para ello, los investigadores emplearon la biblioteca Google libphonenumber, diseñada para generar números de teléfono válidos según el formato de cada país. Con esta herramienta se construyó un universo de aproximadamente 63 mil millones de números potenciales, que posteriormente fueron consultados de forma automática contra las interfaces de WhatsApp.
El ritmo de comprobación fue de alrededor de 7000 peticiones por segundo. Pese a esta actividad masiva, ni las direcciones IP utilizadas ni las cuentas de prueba fueron bloqueadas, lo que demuestra una falta de limitación de tasa (rate limiting) y controles anti‑automatización suficientemente robustos en ese momento.
El resultado fue la recopilación de información sobre más de 100 millones de cuentas por hora y la confirmación de 3,5 mil millones de números registrados en el servicio. La cifra supera con creces los 2 mil millones de usuarios mensuales declarados oficialmente por WhatsApp, lo que indica la existencia de un gran volumen de cuentas inactivas o no contabilizadas en las estadísticas públicas.
Qué metadatos de WhatsApp quedaron expuestos y por qué son sensibles
El ataque no afectó al contenido de los mensajes, protegido por cifrado de extremo a extremo. Sin embargo, la exposición se centró en los metadatos de los perfiles, un tipo de información que suele infravalorarse, pero que es extremadamente útil para inteligencia de fuentes abiertas (OSINT), campañas de marketing agresivo y operaciones de cibercrimen.
Según el estudio, más del 57 % de las cuentas identificadas mostraban una foto de perfil. Alrededor de dos tercios de esas imágenes incluían rostros claramente reconocibles, lo que facilita técnicas de reconocimiento facial, suplantación de identidad y elaboración de perfiles personales o profesionales.
En torno al 29 % de los usuarios tenían definido un estado de texto. En numerosos casos, estos estados contenían información delicada: referencias a orientación sexual, opiniones políticas, enlaces a redes profesionales como LinkedIn o a aplicaciones de citas, direcciones de correo corporativas y otros datos personales. El análisis permitió vincular ciertos números con empleados públicos y personal militar, incrementando el valor potencial de esta base de datos para actividades de espionaje, ciberinteligencia y ataques de phishing altamente dirigidos (spear phishing).
Impacto en países donde WhatsApp está bloqueado y riesgos adicionales
El estudio también evidenció riesgos específicos para regiones donde WhatsApp está oficialmente prohibido, como China, Myanmar, Corea del Norte y otros estados con fuertes restricciones a la mensajería extranjera. A pesar de estas prohibiciones, los investigadores detectaron millones de cuentas activas vinculadas a numeraciones nacionales de dichos territorios.
En contextos represivos, la simple constatación de que un número utiliza WhatsApp a través de VPN o proxys puede acarrear consecuencias legales graves, incluyendo detenciones. Una base de datos de números activos, segmentada por país e incluso por posible función profesional, constituye una herramienta lista para operaciones de spam, campañas de phishing y llamadas automatizadas, además de facilitar tareas de vigilancia y presión política.
Respuesta de Meta y endurecimiento de las defensas contra el scraping
La información sobre esta vulnerabilidad fue comunicada a Meta a través de su programa de bug bounty. Los investigadores señalan que la respuesta completa por parte de la compañía llegó aproximadamente un año después, tras el envío del preprint del artículo científico y el aviso de su próxima publicación.
El vicepresidente de ingeniería de WhatsApp, Nitin Gupta, agradeció al equipo por su “colaboración responsable” y afirmó que los datos obtenidos se utilizaron como prueba de esfuerzo (stress test) para nuevas capas de protección frente al scraping. De acuerdo con los autores del estudio, tras la implantación de estas contramedidas, los métodos de enumeración dejaron de funcionar: los intentos de consultas masivas provocan ahora el bloqueo rápido de cuentas y una activación mucho más estricta de los sistemas anti‑bot.
Los investigadores aseguran haber eliminado completamente la información recolectada, mientras que Meta afirma no tener evidencias de que actores maliciosos hayan explotado este vector de ataque en el mundo real. Tanto la empresa como el equipo académico insisten en que el cifrado de extremo a extremo de los mensajes no se vio comprometido.
Scraping y enumeración: un problema estructural en las plataformas de mensajería
Por qué los servicios deben proteger mejor los metadatos
El caso de WhatsApp pone de manifiesto que no es necesario romper el cifrado para poner en peligro la privacidad: basta con automatizar y escalar funciones legítimas, como el buscador por número, cuando los mecanismos de control de abuso son débiles. Este patrón no es exclusivo de WhatsApp; cualquier servicio que permita buscar por identificadores (teléfono, correo, usuario) es susceptible a ataques de enumeración y scraping masivo si no aplica límites estrictos ni análisis de comportamiento.
Las buenas prácticas de seguridad en estos entornos incluyen rate limiting agresivo, detección de patrones anómalos de tráfico, uso selectivo de CAPTCHAs, revisión periódica de APIs públicas y aplicación del principio de privacidad por diseño, minimizando la cantidad de información visible por defecto.
Medidas de protección recomendadas para usuarios de WhatsApp
Ante el valor estratégico de los metadatos, los usuarios pueden reducir su exposición configurando adecuadamente la privacidad de WhatsApp. Es recomendable limitar la foto de perfil, la información y el estado a “Mis contactos” o “Nadie”, evitar incluir datos sensibles (empresa, cargo, correo corporativo, información personal íntima) y separar, siempre que sea posible, el uso profesional del personal mediante números distintos.
Otras medidas básicas incluyen activar la verificación en dos pasos, revisar periódicamente los dispositivos vinculados y mantener una higiene digital que reduzca la cantidad de información cruzada entre redes sociales, mensajería y servicios en línea, dificultando así la elaboración de perfiles completos a partir de múltiples fuentes.
La investigación de la Universidad de Viena recuerda que la seguridad en mensajería no se limita al cifrado de los mensajes: la gestión de metadatos y la protección frente al scraping son igualmente cruciales. Entender cómo se exponen estos datos y aplicar configuraciones de privacidad más estrictas es esencial para usuarios, empresas y administraciones públicas. Conviene seguir de cerca la evolución de las defensas anti‑scraping en WhatsApp y otras plataformas, y mantenerse informado para adoptar a tiempo las mejores prácticas de ciberseguridad y protección de la identidad digital.
