Un equipo de investigadores de la Universidad de Viena descubrió un fallo en la arquitectura de WhatsApp que permitió enumerar —a escala masiva— 3.5 mil millones de cuentas. Meta ya aplicó parches para bloquear el método utilizado, pero los hallazgos revelan riesgos persistentes en la forma en que la plataforma gestiona la consulta de números telefónicos.
¿Qué descubrieron los investigadores?
WhatsApp permite a los usuarios verificar si un número está registrado en la plataforma consultando directamente sus servidores. Esta dinámica, necesaria para descubrir contactos, abre la puerta a la enumeración masiva de números.
Aunque Meta aplica limitaciones para evitar abusos, los investigadores lograron:
Probar más de 100 millones de números por hora sin ser bloqueados.
Generar combinaciones plausibles para 245 países, reduciendo el universo global a 63 mil millones de candidatos.
Identificar 3.5 mil millones de cuentas con metadatos como número, foto de perfil, texto “about”, timestamps y llaves públicas E2EE.
El estudio constituye uno de los mayores análisis éticos de datos de WhatsApp realizados hasta la fecha.
Conexión con la filtración de Facebook de 2021
El equipo comparó sus resultados con la famosa filtración de 500 millones de números de Facebook en 2021. La mitad de esos números siguen activos en WhatsApp, demostrando la persistencia del riesgo y el valor de los datos filtrados a largo plazo.
Hallazgos adicionales que preocupan
Los investigadores realizaron un “censo global” de usuarios y encontraron:
Cuentas activas en regiones donde WhatsApp está prohibido (China, Myanmar, Corea del Norte, Irán), evidenciando que las prohibiciones son fáciles de evadir.
Patrones cuestionables en el uso de llaves X25519, incluyendo reutilización masiva de prekeys de un solo uso.
Casos extremos en EE. UU. donde dispositivos usaban llaves privadas compuestas solo de ceros, lo que sugiere fallos críticos en generadores aleatorios o uso de software no estándar.
Estos comportamientos debilitan la seguridad de la comunicación cifrada y podrían facilitar fraude o suplantación.
La postura de Meta
Meta minimizó el incidente, alegando que:
No se expusieron mensajes, listas de contactos ni contenido privado.
Las fotos de perfil y textos “about” solo son visibles públicamente si el usuario configura esa opción.
La compañía afirmó que recibió reportes parciales entre 2024 y 2025, pero que la información técnica completa llegó hasta agosto de 2025. Las mitigaciones comenzaron en septiembre y se reforzaron en octubre.
Conclusión
Aunque Meta ya cerró la brecha, el estudio revela un problema estructural: la arquitectura de descubrimiento de contactos en WhatsApp facilita la enumeración masiva. Los datos expuestos no son mensajes ni conversaciones, pero sí metadatos suficientes para construir perfiles, analizar actividad y cruzar información filtrada previamente.
Para empresas y usuarios corporativos, este caso subraya la importancia de limitar la exposición pública en perfiles de mensajería, revisar configuraciones de privacidad y entender que incluso plataformas cifradas pueden filtrar metadatos a gran escala.
