Durante años, WhatsApp ha construido su imagen pública sobre la premisa de que la información personal circula a través de canales protegidos y resistentes a la vigilancia. Sin embargo, un nuevo estudio académico realizado por especialistas de seguridad digital de la Universidad de Viena demuestra que, sin necesidad de infiltrarse en servidores, sin romper protocolos criptográficos y sin explotar fallos complejos, fue posible reconstruir un directorio mundial casi completo de usuarios de la plataforma.
Lo alarmante no es únicamente la magnitud del hallazgo un volumen superior a los 3.500 millones de números de teléfono, distribuidos en 245 países sino la sencillez con la que este catálogo pudo ser elaborado. El estudio sugiere que la debilidad residía en un mecanismo elemental del servicio: la validación del número de teléfono a través de la función habitual de búsqueda de contactos.
-¿Cómo un mecanismo cotidiano permitió un rastreo masivo global?
La función que permite comprobar si un número está registrado en WhatsApp algo que millones de personas usan todos los días sin pensar en ello era la puerta de entrada perfecta para una enumeración a escala industrial. Según la investigación, la versión web de WhatsApp carecía de mecanismos sólidos para limitar la velocidad o el volumen de las solicitudes legítimas. Esto posibilitó que scripts automatizados enviaran secuencias gigantescas de números generados con patrones realistas.
Los investigadores detallan que su sistema logró verificar más de 100 millones de números por hora sin experimentar restricciones significativas. Cada número confirmado ofrecía datos visibles para cualquier usuario corriente: la fotografía de perfil pública, la frase de estado configurada sin privacidad, y, en algunos casos, la clave pública utilizada dentro del sistema de cifrado de extremo a extremo.
No se trataba de infiltrarse: se trataba de replicar, multiplicado por millones, el comportamiento normal de un usuario que agrega contactos. Esa aparente inocencia es precisamente lo que vuelve más preocupante la vulnerabilidad.
-El experimento: cinco meses para construir un mapa planetario de cuentas
El trabajo que será presentado formalmente en 2026 describe que la recolección de datos tuvo lugar entre diciembre de 2024 y abril de 2025. Durante ese período, el equipo no solo determinó qué números estaban asociados a perfiles activos, sino que pudo almacenar toda la información pública anexada a cada registro.
Los autores califican el resultado como “la mayor exposición documentada de números de teléfono y metadatos asociados realizada sin violación de protocolos criptográficos”.
La cifra final: un directorio global que abarca aproximadamente tres cuartas partes de la población mundial, convirtiéndose en un recurso de un valor extraordinario tanto para investigadores como para potenciales actores maliciosos.
-La respuesta de Meta: medidas tardías y una defensa basada en la privacidad configurada por el usuario
Según Meta, la compañía fue informada del hallazgo en abril de 2025 y aplicó medidas para endurecer los límites de solicitudes en octubre del mismo año. Su postura oficial es doble: por un lado, afirma que no existen pruebas de que terceros hayan replicado la técnica a escala significativa; por otro, insiste en que los elementos obtenidos fotos de perfil abiertas, textos informativos, claves públicas ya eran visibles para cualquier persona que poseyera el número correspondiente.
La empresa destaca que el cifrado de extremo a extremo nunca estuvo comprometido y recalca que la protección de los contenidos de los chats se mantuvo intacta en todo momento. En otras palabras, la brecha no afecta al contenido privado de las conversaciones, sino a la información vinculada a la presencia de un número dentro del ecosistema de WhatsApp.
-Una vulnerabilidad explotable sin conocimientos avanzados
Los investigadores, sin embargo, advierten que la gravedad del problema no se mide en función de la complejidad técnica requerida. Cualquiera con recursos moderados y nociones básicas de automatización habría podido replicar el proceso. El ataque no dependía de violar barreras de seguridad sofisticadas, sino de aprovechar una función esencial cuyo diseño no contemplaba la posibilidad de ser escalada hasta límites industriales.
El impacto potencial es profundo: con un listado mundial de números asociados a perfiles públicos, campañas de phishing y spam podrían dirigirse con precisión quirúrgica. También sería posible rastrear si un usuario se encuentra activo en regiones donde la aplicación está restringida o prohibida. El estudio menciona casos específicos como China y Myanmar, donde, pese a las prohibiciones estatales y la presión gubernamental, fueron identificadas millones de cuentas en funcionamiento.
-Implicaciones para la privacidad y el futuro de la mensajería cifrada
La investigación pone en evidencia un problema recurrente en plataformas con una base de usuarios masiva: incluso sin romper el cifrado, la exposición de metadatos presencia, horarios, perfiles públicos puede tener consecuencias significativas. La privacidad no solo depende de la protección del contenido de un mensaje, sino también de la información periférica que acompaña a la cuenta.
Para los investigadores, este caso evidencia la necesidad de que los servicios de mensajería replanteen cómo gestionan operaciones aparentemente inocuas como la verificación de contactos. En un ecosistema donde miles de millones de cuentas conviven, una función mal regulada puede convertirse en la llave para reconstruir la estructura completa de la red social más grande del planeta.
-Un recordatorio de que la seguridad no siempre se quiebra desde adentro
Aunque Meta sostiene que ya ha implementado medidas adicionales, tanto académicos como expertos independientes coinciden en que este episodio será estudiado durante años como ejemplo de un riesgo poco intuitivo: la vulnerabilidad silenciosa que se aprovecha sin irrumpir directamente en sistemas privados.
La investigación revela que la superficie de ataque en plataformas globales es más amplia de lo que parece. Y, sobre todo, recuerda que la privacidad no depende únicamente del cifrado, sino también de todos los elementos que orbitan alrededor de la cuenta de un usuario. WhatsApp, una aplicación con más de dos mil millones de usuarios diarios, tendrá que afrontar el desafío de reconstruir la confianza en un ecosistema donde incluso lo más cotidiano puede transformarse en un mecanismo de vigilancia masiva si no se controla adecuadamente.