Los datos extraídos de WhatsApp pueden ser empleados para la creación de bases de datos destinadas a estafas, spam y campañas de phishing dirigidas.
19/11/2025 – 11:03hs
Investigadores de la Universidad de Viena lograron extraer hasta 3.500 millones de números de teléfono de usuarios de WhatsApp, al aprovechar una vulnerabilidad crítica en el sistema de descubrimiento de contactos de la aplicación, según detalla un nuevo estudio.
El hallazgo, considerado por el equipo como “la exposición más extensa de números de teléfono y datos de usuario relacionada que se haya documentado”, pone en jaque la privacidad de miles de millones de personas en la plataforma de mensajería instantánea más grande del mundo, propiedad de Meta.
El mecanismo de la extracción de datos de WhatsApp
El equipo, compuesto por Aljosha Judmayer, Max Günther y Gabriel Gegenhuber, demostró que era posible automatizar el proceso de búsqueda de contactos, un ataque conocido como “enumeración“. Este método permitió verificar, a una escala masiva, si cualquier número de teléfono estaba registrado en la plataforma de WhatsApp, y luego recopilar datos asociados.
Los datos expuestos incluyen no solo los números telefónicos, sino también fotos de perfil (obtenidas en el 57% de los casos) y textos públicos de las cuentas (en el 29% de ellas). Los investigadores destacaron el alcance global de la filtración, reportando un alto porcentaje de cuentas expuestas en países como India (62% con fotos de perfil) y Brasil (61%). También se identificaron millones de números en naciones donde la aplicación está prohibida, como China y Myanmar, lo que podría facilitar la persecución de usuarios en contextos represivos.
Respuesta tardía de Meta
La empresa Meta (antes Facebook), propietaria de WhatsApp, fue notificada de la vulnerabilidad en abril, pero aplicó una solución, consistente en una limitación de velocidad (“rate-limiting”) más estricta, recién en octubre. Nitin Gupta, vicepresidente de ingeniería de WhatsApp, aseguró que la mensajería privada nunca estuvo en riesgo gracias al cifrado de extremo a extremo y afirmó que no hay evidencia de un abuso malicioso de esta falla por parte de terceros.
Sin embargo, los investigadores señalaron que la protección contra la recolección masiva de datos fue insuficiente durante años. Alertaron que esta misma vulnerabilidad ya había sido reportada en 2017, cuando Meta desestimó el aviso, considerando que sus configuraciones de privacidad eran adecuadas.
El estudio concluye que el problema es estructural: el uso del número de teléfono como único identificador en un servicio de esta escala es intrínsecamente inseguro. Los datos extraídos pueden ser empleados para la creación de bases de datos destinadas a estafas, spam y campañas de phishing dirigidas.
Como riesgo adicional, el análisis técnico reveló que muchas de las claves criptográficas examinadas, asociadas a las cuentas de WhatsApp, se encontraban duplicadas o consistían solo en ceros en algunos casos, lo que podría indicar el uso de clientes no autorizados y un potencial riesgo de descifrado de mensajes.
