WhatsApp vuelve a quedar en el centro del debate sobre privacidad tras revelarse un fallo estructural que permitió enumerar alrededor de 3.5 mil millones de números de teléfono, junto con datos de perfil asociados a cada cuenta. No se trata de un bug menor, sino de una debilidad sistémica en el mecanismo de descubrimiento de contactos de la aplicación, que fue explotada por un grupo de investigadores con resultados sin precedentes.
El origen del problema está en un detalle que había pasado desapercibido durante años: la plataforma no aplicaba límites reales al ritmo con el que un usuario podía consultar perfiles vinculados a números concretos. En la práctica, esto permitía automatizar consultas masivas con millones de números posibles y comprobar, casi en tiempo real, cuáles estaban asociados a una cuenta activa.
Fallo de WhatsApp expone 3.5 mil millones de cuentas
A partir de esa grieta, los investigadores construyeron un sistema capaz de insertar enormes bloques de números telefónicos y registrar, uno por uno, si correspondían a un usuario existente. El ritmo de procesamiento alcanzó decenas de millones de verificaciones por hora, una cifra que da una idea de la magnitud del agujero de seguridad. Una vez identificadas las cuentas válidas, era posible acceder también a parte del contenido público del perfil: aproximadamente un 57 % mostraba la fotografía a cualquier visitante, y casi un 29 % incluía un texto visible en la sección “Info”.
El estudio también reveló algo especialmente llamativo: la existencia de millones de cuentas activas en territorios donde WhatsApp está oficialmente bloqueado, como China, Myanmar o Irán, gracias al análisis de rangos telefónicos. Esta información expone, además del fallo técnico, el peso global real de la plataforma y su uso extendido incluso bajo restricciones estatales.
Aunque la vulnerabilidad ya ha sido corregida, el caso deja varias reflexiones de fondo. WhatsApp basa su sistema de identidad en números telefónicos, un identificador que nunca fue concebido como dato secreto, y que en la práctica facilita procesos de enumeración a gran escala si no se establecen mecanismos de protección robustos. Este incidente demuestra que incluso la información aparentemente “pública” puede ser utilizada de forma masiva y automatizada para perfilar usuarios, mapear regiones completas o rastrear patrones de actividad.
Conclusiones
Tras el cierre de la brecha, la compañía afirma que los datos expuestos se limitaban a información pública del perfil y que en ningún momento estuvieron en riesgo los mensajes ni el contenido privado. Sin embargo, el daño potencial seguía siendo considerable: listas gigantescas de números válidos, asociados a identidades reales, listos para campañas de spam, ingeniería social o ataques dirigidos.
El incidente marca uno de los mayores casos de exposición de cuentas jamás registrados en un servicio de mensajería global. Aunque la corrección del fallo pone fin al riesgo inmediato, abre una conversación necesaria sobre los límites, la arquitectura y las medidas de seguridad que deben acompañar a plataformas cuyo uso supera los dos mil millones de personas en todo el mundo. WhatsApp ha prometido mejoras, pero la escala del hallazgo demuestra que todavía queda trabajo por delante para proteger la identidad digital de sus usuarios a nivel global.
Gracias