Entre diciembre de 2024 y abril de 2025, un equipo de la Universidad de Viena identificó 3.500 millones de números de teléfono activos en WhatsApp (prácticamente toda su base de usuarios) desde un único servidor y sin encontrar demasiadas resistencias técnicas.
Procesaron más de cien millones de números por hora y extrajeron no solo la existencia de las cuentas, sino también claves públicas, fotos de perfil, textos de estado y metadatos de los dispositivos. Lo hicieron sin tener que ocultarse, desde una misma IP universitaria, mismo servidor, cinco cuentas. Durante cuatro meses, nadie en Meta se dio cuenta.
Por qué es importante. No es la primera vez que se demuestra esta vulnerabilidad, pues ya ocurrió en 2012 y 2021, pero sí la primera a esta escala y velocidad. El hallazgo expone una contradicción estructural en WhatsApp:
- Su arquitectura debe mostrar si un número está registrado para permitir el descubrimiento de contactos...
- ...pero esa necesidad funcional choca con la privacidad de sus usuarios.
Saber quién usa WhatsApp en países donde está prohibida, como China, Birmania o Corea del Norte, puede tener consecuencias graves. Allí detectaron 2,3 millones, 1,6 millones y cinco cuentas respectivamente (no cinco millones, cinco a secas). La investigación, publicada hace unas semanas en NDSS 2026, demuestra que esta grieta no solo persiste, sino que se ha ensanchado.
El contexto. Los investigadores desarrollaron 'libphonegen', una herramienta que reduce el espacio de búsqueda de billones de combinaciones teóricas de posibles números de teléfono móvil a "solo" 63.000 millones de candidatos reales para 245 países. Usando clientes no oficiales de WhatsApp que acceden directamente a la API XMPP, consultaron estos números a razón de 7.000 por segundo. Ni su IP fue bloqueada ni sus cuentas sancionadas.
Meta no dio respuesta hasta que los investigadores reportaron explícitamente el hallazgo en marzo de este año, y las contramedidas no llegaron hasta octubre, hace apenas un par de meses.
Las cifras. El dataset resultante supera en cinco veces el escándalo de scraping de Facebook de 2021:
- India lidera el documento con 749 millones de usuarios (el 21% del total), seguida de Indonesia y Brasil. En España, 46,5 millones de cuentas.
- El 81% usa Android.
- Más de la mitad tiene foto de perfil pública.
- El 29% tiene el texto de estado visible.
Entre líneas. Los investigadores pudieron inferir el sistema operativo analizando patrones de inicialización de las claves criptográficas.
- Android inicia ciertos identificadores en cero.
- iOS lo hace en valores aleatorios.
Este detalle importa porque los usuarios de iPhone son objetivos de mayor valor para los atacantes.
También detectaron que se reutilizan las claves públicas. Encontraron 2,3 millones de claves distintas usadas en 2,9 millones de dispositivos diferentes. En Birmania y Nigeria, decenas de miles de números compartían la misma clave, apuntando o bien a una implementación defectuosa o directamente a un fraude. Incluso hallaron veinte números estadounidenses que usan una clave privada compuesta únicamente por ceros.
En detalle. El método no se limita a confirmar la existencia de las cuentas. Para cada una extrajeron claves públicas, timestamps y el listado de dispositivos vinculados. Esto permite construir perfiles detallados sin acceder al contenido de los mensajes.
- La antigüedad del dispositivo se puede estimar contando las rotaciones de claves.
- La "popularidad" de un usuario se infiere por la frecuencia de agotamiento de sus prekeys de un solo uso, que se consumen cada vez que inicia una conversación nueva.
Los investigadores descargaron 77 millones de fotos de perfil del rango +1 (prefijo de Estados Unidos y Canadá) en cuestión de horas. El 66% de ellas contenía rostros reconocibles. También encontraron textos de estado inquietantes, como los de traficantes listando precios, cuentas Business anunciando drogas o correos corporativos de gobiernos y ejércitos visibles públicamente.
Y ahora qué. Meta ha desplegado contadores de cardinalidad probabilísticos para limitar cuántas cuentas únicas puede consultar un usuario sin bloquear el descubrimiento legítimo de contactos. También ha restringido el acceso en bloque a fotos y textos de estado.
Los investigadores confirmaron que las medidas funcionan en pruebas posteriores. Pero ninguna contramedida protege a quienes ya fueron listados durante los meses en que el sistema ha estado abierto de par en par.
La gran pregunta. Durante cuatro meses, desde un servidor universitario sin siquiera ocultar su identidad, saquearon prácticamente toda la base de usuarios de la aplicación más usada del planeta sin que nadie en Meta se diera cuenta hasta que se lo dijeron de forma explícita.
Si estos investigadores han podido hacerlo en esas condiciones, ¿quién más lo hizo antes sin avisar a nadie?
Imagen destacada | Dimitri Karastelev
-
La noticia Unos investigadores extrajeron fotos y estados de 3.500 millones de usuarios de WhatsApp. Meta no reaccionó hasta que se lo dijeron fue publicada originalmente en Xataka por Javier Lacort .
☞ El artículo completo original de Javier Lacort lo puedes ver aquí