Administrador
Si utilizas WhatsApp, es casi seguro que tu número de teléfono, tu foto de perfil y tu estado forman ahora parte de una base de datos que un grupo de investigadores de la Universidad de Viena compiló este mismo año. En un informe que expone la fragilidad de nuestra privacidad digital, este equipo ha revelado que una vulnerabilidad en el sistema de sincronización de contactos de WhatsApp permitía a cualquiera conocer los 3.500 millones de números de teléfono de usuarios de la plataforma. No se trata de un «hackeo» sofisticado ni de una incursión en los servidores de Meta. Bastaba con abusar de forma sistemática de una función diseñada para nuestra comodidad.
El hallazgo se basa en un método conocido como «enumeración». WhatsApp, como muchas otras apps de mensajería, basa su red social en tu agenda de contactos. Cuando te registras, la app escanea tus contactos para decirte quiénes de tus amigos ya están en la plataforma. Esta función es una de las virtudes principales de WhatsApp. Elimina la fricción de tener que pedir nombres de usuario o buscar a tus contactos. Simplemente funciona.
Sin embargo, esta función escondía un defecto de diseño. Los investigadores descubrieron que podían automatizar este proceso a una escala masiva. Utilizando pequeños programas, bombardearon los servidores de WhatsApp con miles de millones de combinaciones numéricas posibles. A efectos prácticos, para cada número posible, preguntaban «¿es este un usuario de WhatsApp?». Millones de veces por hora, los servidores de WhatsApp respondían «sí, lo es, y aquí tienes su foto de perfil y su estado».
Al no existir límites de velocidad efectivos en el momento del estudio, los investigadores pudieron recorrer prácticamente todo el espectro de números móviles del planeta, confirmando la existencia de 3.500 millones de cuentas activas en 245 países. «Hasta donde sabemos, esto es la filtración de números de teléfono y datos de usuario relacionados más extensa jamás documentada», afirma Aljosha Judmayer, uno de los autores del estudio.
Los investigadores alertaron a Meta sobre esta vulnerabilidad en abril de 2025 a través de su programa de recompensas. El pasado mes de octubre, Meta activó finalmente una limitación de velocidad más estricta en octubre. Con esta nueva medida, ahora un ataque tan masivo no podría replicarse a la misma velocidad.
WhatsApp está además en plena transición a un sistema diferente que eliminará el número de teléfono como principal elemento de identificación, evolucionando a nombres de usuario únicos. Las versiones beta de la aplicación en diferentes plataformas ya han empezado a ofrecer la posibilidad de reservar estos nombres de usuario.
