Un fallo simple en WhatsApp dejó al descubierto 3.500 millones de números de teléfono: la mayor exposición de datos de la historia

No es raro que las plataformas masivas prioricen el crecimiento de usuarios a la prevención de ataques de agregación o scraping

19 noviembre 2025, 14:54

Marcos Merino

Colaborador

WhatsApp, la aplicación de mensajería más utilizada del planeta, basa parte de su éxito en la sencillez: basta con añadir un número a la agenda para saber si esa persona usa la plataforma y poder ver su foto de perfil. Lo que millones de usuarios perciben como comodidad se convirtió, sin embargo, en la puerta de entrada al que podría ser el mayor acceso no autorizado a datos personales jamás documentado: la exposición de prácticamente todas las cuentas de WhatsApp a nivel mundial.

Un equipo de investigadores de la Universidad de Viena y SBA Research demostró que, sin técnicas avanzadas ni intrusiones, era posible reconstruir el directorio completo de la plataforma, accediendo a 3,5 mil millones de números, además de fotos de perfil, textos públicos, claves criptográficas y otros metadatos sensibles.

Según los propios autores, si esta extracción masiva hubiera sido realizada por delincuentes y no como parte de una investigación realizada por profesionales éticos, estaríamos hablando de "la mayor filtración de datos de la historia".

¿En qué consistía el fallo?

WhatsApp permite saber si un número existe en la plataforma simplemente añadiéndolo como contacto. Esta funcionalidad, pensada para facilitar la comunicación, no contaba con limitaciones de velocidad ni mecanismos anti‐explotación en ciertas interfaces, especialmente en WhatsApp Web.

Los investigadores no hicieron más que automatizar lo que cualquier usuario puede hacer manualmente:

  1. Generar números válidos de todo el mundo.
  2. Consultar a WhatsApp si esos números tenían cuenta.
  3. Descargar los datos públicos asociados.

El sistema no detectaba actividad excesiva ni bloqueaba peticiones, lo que permitió realizar 100 millones de comprobaciones por hora. Así, entre diciembre de 2024 y abril de 2025, con solo cinco cuentas autenticadas y un servidor universitario, lograron consultar 63 mil millones de números y confirmar 3.5 mil millones de cuentas activas.

Qué datos quedaron expuestos

  • Números de teléfono: El dato básico, pero también el más sensible: un identificador personal único y persistente.
  • Fotos de perfil y mensajes 'info': El 57% de los usuarios tenía su foto visible a cualquier desconocido, y un 29% mostraba texto público con información personal —a veces extremadamente delicada— como afiliaciones religiosas, políticas o incluso enlaces a redes como Tinder u OnlyFans. Sólo en Norteamérica, la descarga de fotos visibles supuso 3.8 terabytes de imágenes. En un muestreo, dos tercios contenían rostros reconocibles mediante algoritmos de reconocimiento facial.
En Genbeta
Si acabas de actualizar WhatsApp en Windows, verás que su consumo de RAM se ha multiplicado. Hay una razón para eso
  • Claves criptográficas y metadatos técnicos: De forma inesperada, los investigadores accedieron también a claves públicas utilizadas para el cifrado de extremo a extremo. No se comprometieron mensajes, pero sí se identificaron 2.9 millones de casos de reutilización de claves (un grave problema de seguridad).
  • Información sobre dispositivos vinculados: WhatsApp revelaba cuántos dispositivos tenía asociada cada cuenta, un dato que puede sugerir hábitos de uso o prácticas sospechosas (como el uso múltiple en redes de spam) .
Un vistazo a…
WHATSAPP Trucos y consejos para OCULTARTE AL MÁXIMO y mantener tu PRIVACIDAD

Un riesgo desigual según el país

Los datos permitieron construir un mapa detallado del uso global de WhatsApp. Entre los hallazgos más llamativos:

  • India: 749 millones de cuentas; el 62% mostraba foto pública.
  • Brasil: 206 millones; 61% con foto visible.
  • Estados Unidos: 137 millones; 44% con foto y 33% con texto público.
  • Irán: 60 millones pese a la prohibición vigente de la app, un riesgo enorme para los usuarios si el Estado hubiese accedido a la información.
  • China: 2,3 millones de cuentas pese a la prohibición oficial que impera también en China respecto a la app de Meta.

Una crisis de privacidad estructural

Los investigadores señalan que la raíz del problema no es solo la ausencia de límites de consulta, sino el propio uso del número de teléfono como identificador universal. Los números telefónicos:

  • son fáciles de enumerar,
  • siguen patrones conocidos por país,
  • no están diseñados para servir como credenciales secretas.

Por tanto, cualquier plataforma basada en ellos queda expuesta a ataques de enumeración masiva. Sin un ritmo de consulta extremadamente limitado, la privacidad depende más de la opacidad por volumen que de la seguridad real. WhatsApp parece haber tomado nota: ya ha empezado a testear un sistema de nombres de usuario, que podría reducir esta dependencia del número telefónico.

La respuesta de Meta: ocho años tarde

El primer aviso documentado sobre esta vulnerabilidad se remonta a 2017, cuando un investigador independiente ya demostró la posibilidad de enumerar números y perfiles. Meta respondió entonces que la aplicación funcionaba 'según lo diseñado' y no consideró el hallazgo como un error remunerable en su programa de recompensas. En 2024 y 2025 los avisos se multiplicaron, pero Meta no actuó hasta que la publicación del estudio era inminente.

En Genbeta
Signal vs. WhatsApp: las grabaciones que la Guardia Civil posee de Santos Cerdán desvelan un curioso debate sobre qué app es más segura

Finalmente, en octubre de 2025 implementó una limitación del ritmo de consultas que bloquea la automatización a gran escala. La compañía, sin embargo, insiste en que:

  • toda la información expuesta era 'pública',
  • no hay pruebas de que actores maliciosos explotaran el fallo,
  • y los mensajes siempre permanecieron cifrados.

Los investigadores, por su parte, afirman que no encontraron defensa alguna durante la extracción y que no está garantizado que otros actores no hayan realizado la misma operación en los años previos.

Consecuencias potenciales: del spam al peligro físico

La reconstrucción del directorio global de WhatsApp abre la puerta a múltiples abusos:

  • Estafas y spam: Una base de 3.5 mil millones de números activos es oro puro para redes de phishing, fraudes financieros y campañas automatizadas.
  • Doxxing y extorsión: Las fotos públicas y textos personales permiten identificar a individuos, asociarlos a perfiles sociales o incluso a ubicaciones, gracias a elementos visibles en las imágenes .
  • Persecución estatal: En países donde la aplicación es ilegal, la mera enumeración masiva permitiría detectar y localizar a quienes la utilizan.
  • Robo de identidad y cruces con otras filtraciones: La exposición coincide con bases filtradas previamente, como la fuga de Facebook de 2021, lo que facilita correlaciones peligrosas .

¿Qué pueden hacer los usuarios?

Aunque Meta ha corregido el fallo, la exposición ya ocurrió. Expertos recomiendan:

  • Configurar foto de perfil, 'info' y privacidad de conexión como datos visibles sólo para sus contactos.
  • Evitar información personal sensible en la sección 'info'.
  • Revisar dispositivos vinculados y eliminar aquellos desconocidos.
  • Desconfiar de mensajes sospechosos, especialmente si provienen de números extranjeros.
  • Considerar el uso de alias o nombres de usuario cuando la función esté plenamente disponible.

Vía | Wired

Imagen | Marcos Merino mediante IA

En Genbeta | Mi móvil estaba "secuestrado" por 70 GB de chats y archivos de WhatsApp: así logré vaciarlos sin perder nada

Ver todos los comentarios en https://www.genbeta.com

VER Comentarios
Ir a la portada de Genbeta