Fallo de seguridad en WhatsApp expuso millones

Un reciente estudio académico reveló un fallo de seguridad en WhatsApp que permitió comprobar de manera automatizada si miles de millones de números telefónicos estaban registrados en la plataforma, además de vincularlos con información pública del perfil.

El análisis, realizado por especialistas europeos, demostró que utilizando la versión web era posible consultar millones de combinaciones de números sin bloqueos efectivos durante varios meses. Bajo estas condiciones, se lograron confirmar 3,500 millones de teléfonos registrados en el servicio y, en muchos casos, acceder a fotos de perfil y textos visibles públicamente. Aunque cada usuario define lo que comparte, la posibilidad de obtener esa información a escala representa un riesgo elevado.

Qué falló en el diseño del sistema

El origen del problema estuvo en la dependencia del número telefónico como identificador único de cada cuenta. Al repetir millones de consultas automáticas sobre la herramienta de búsqueda, los investigadores pudieron reconstruir perfiles masivos sin necesidad de romper el cifrado de extremo a extremo.

Consecuencias para usuarios y empresas

Este fallo de seguridad en WhatsApp abre puertas a distintas amenazas, especialmente de ingeniería social. Con un número de teléfono más datos visibles del perfil, es mucho más sencillo lanzar campañas de phishing, estafas personalizadas o suplantación de identidad.

Otro punto preocupante es la permanencia del valor de la información. Una gran parte de los datos recopilados sigue activa años después, lo que permite que puedan combinarse con otras filtraciones y generar perfiles más precisos en el futuro.

Respuesta oficial y correcciones aplicadas

La información fue notificada a Meta, compañía propietaria de WhatsApp, que posteriormente implementó limitaciones más estrictas para evitar consultas masivas desde la versión web.

Sin embargo, el caso reabre el debate sobre el uso del número telefónico como base de identificación digital y la necesidad de reforzar medidas de control y privacidad desde el diseño.

Lecciones para México y la ciberseguridad

Aunque el caso se originó en Europa, sirve como referencia clara para México, donde WhatsApp es una de las principales herramientas de comunicación personal y empresarial. Si un atacante local replicara este tipo de automatización antes de que existieran controles, podría construir bases de datos masivas para campañas de fraude dirigidas, extorsión digital, doxxing o ataques a compañías.

Para usuarios mexicanos, organizaciones y administraciones públicas, es necesario reforzar la protección del perfil limitando la información visible, verificando solicitudes sensibles mediante canales alternos y adoptando políticas internas más estrictas para evitar abusos.

Qué pueden hacer los usuarios

A falta de identificadores alternativos dentro del sistema, algunas acciones inmediatas pueden reducir riesgos:

• Limitar la foto de perfil y datos de estado a “Mis contactos” o “Nadie”.

• Evitar colocar información personal, laboral o enlaces sensibles en el estado.

• Confirmar solicitudes urgentes por otro medio antes de contestar.

• Mantener la menor cantidad posible de información pública visible.

Este episodio demuestra que incluso funciones diseñadas para facilitar la experiencia pueden convertirse en una vía para grandes exposiciones de información cuando se explotan de forma automatizada.

En Cyberpeace, insistimos en la importancia de fortalecer la cultura digital y mantenerse al día sobre nuevas amenazas. La información oportuna y la prevención son claves para proteger tus datos y tu privacidad. ¿Quieres seguir aprendiendo sobre ciberseguridad? Síguenos en nuestras redes y mantente actualizado.

• LinkedIn 

• Facebook 

• Instagram 

• X 

• YouTube