Vulnerabilidad en WhatsApp: Exponen 3.500 millones de números telefónicos
Un reciente descubrimiento revela que una falla en la popular aplicación de mensajería permitió la recolección masiva de números telefónicos de usuarios en todo el mundo. La situación genera preocupación sobre la privacidad de los datos y el potencial uso malicioso de esta información.
Según investigadores de la Universidad de Viena y SBA Research, la brecha en el sistema de descubrimiento de contactos de WhatsApp facilitó la construcción de un gigantesco «listín telefónico» al obtener 3.500 millones de cuentas activas en la plataforma.
Detalles sobre la vulnerabilidad
Este fallo se centra en la función de Contact Discovery, que permite a los usuarios verificar si un número está registrado. Mediante la automatización de este mecanismo, los investigadores lograron enviar hasta 7.000 consultas por segundo, superando cualquier límite de solicitudes impuesto por el sistema.
Extracción de datos sensibles
El proceso no solo confirmó la existencia de números registrados, sino que también reunió información pública asociada a cada cuenta, tales como:
Claves de cifrado públicas, marcas de tiempo, fotos de perfil (si estaban disponibles) e información de estado.
Los hallazgos revelaron que aproximadamente 57% de los usuarios tenían fotos de perfil visibles, y 29% compartían información en su descripción personal. Además, se pudo inferir información sobre el sistema operativo utilizado, la edad de la cuenta y el número de dispositivos conectados a la app.
Riesgos asociados a la vulnerabilidad
A pesar de que los mensajes de WhatsApp permanecen cifrados de extremo a extremo, la exposición de estos datos públicos abre la puerta a abusos potenciales. La existencia de un directorio con millones de números telefónicos puede facilitar ataques de spam, phishing o campañas de llamadas automatizadas.
Asimismo, existe un gran riesgo en contextos donde WhatsApp es restringido, al permitir una identificación más sencilla de usuarios, lo que podría ser utilizado en prácticas de vigilancia estatal.
Respuesta de Meta ante la situación
Tras notificar a la compañía sobre la vulnerabilidad en abril de 2025, Meta implementó contramedidas en octubre de 2025, limitando la cantidad de solicitudes permitidas desde una misma IP.
A pesar de la gravedad del hallazgo, Meta aseguró que no identificó uso malicioso de esta vulnerabilidad fuera del marco del estudio y subrayó que los datos expuestos ya eran públicos según las configuraciones de privacidad de los usuarios. La compañía también agradeció el descubrimiento a través de su programa de recompensas por fallas de seguridad.
