Investigadores descubren vulnerabilidad masiva en WhatsApp que expuso 3.500 millones de cuentas

Un equipo académico identificó una falla en el mecanismo de descubrimiento de contactos que permitió enumerar casi todas las cuentas de la plataforma, ya solucionada por Meta tras divulgación responsable.

Investigadores de seguridad informática de la Universidad de Viena y SBA Research descubrieron una vulnerabilidad crítica en WhatsApp que permitió identificar hasta 3.500 millones de cuentas activas en la plataforma. El hallazgo, realizado entre diciembre de 2024 y abril de 2025, reveló cómo el mecanismo de descubrimiento de contactos de la aplicación —diseñado para mostrar qué personas de tu agenda usan el servicio— podía ser explotado a gran escala sin efectivas medidas de limitación. Tras un proceso de divulgación responsable que incluyó múltiples comunicaciones con Meta, la empresa implementó soluciones para mitigar el problema, que será presentado formalmente en la conferencia Network and Distributed System Security (NDSS) Symposium 2026. Este descubrimiento subraya los riesgos inherentes a la centralización de servicios de mensajería y la importancia de la investigación independiente en plataformas utilizadas por miles de millones de personas.

El mecanismo de descubrimiento de contactos como vector de ataque

WhatsApp, con aproximadamente 3.500 millones de cuentas activas a principios de 2025, utiliza un sistema que permite a los usuarios descubrir automáticamente qué contactos de su agenda telefónica están registrados en la plataforma. Este mecanismo, fundamental para la experiencia del usuario, requiere que el servicio responda a consultas sobre la existencia de cuentas asociadas a números telefónicos específicos.

Según el estudio, este diseño inherente hace imposible eliminar completamente la posibilidad de enumeración de cuentas, ya que los usuarios legítimos necesitan esta funcionalidad. Sin embargo, los investigadores descubrieron que las medidas de protección implementadas por WhatsApp eran insuficientes. A diferencia de estudios previos que lograron tasas de consulta limitadas (entre 1 y 18 números por segundo), el equipo académico pudo verificar más de 100 millones de números telefónicos por hora sin ser bloqueado ni experimentar limitaciones efectivas de velocidad.

“La falta de límites robustos en las consultas permitió realizar un escaneo a escala global de manera inesperadamente sencilla”, señalan los investigadores en su documento. El estudio destaca que todas las consultas se realizaron desde una única dirección IP y con solo cinco cuentas de WhatsApp, lo que demuestra la magnitud de la vulnerabilidad.

Metodología innovadora para identificar números telefónicos

Una de las contribuciones más significativas del estudio fue el desarrollo de una herramienta llamada libphonegen, capaz de generar números telefónicos plausibles para 245 países. Esta tecnología redujo el espacio de búsqueda mundial de números móviles potencialmente asignados a 63.000 millones de candidatos, un conjunto manejable para una enumeración sistemática.

Los investigadores utilizaron implementaciones de código abierto de clientes de WhatsApp para acceder directamente a las API de la plataforma, específicamente a los endpoints del protocolo XMPP, lo que les permitió obtener información más detallada que los estudios anteriores. Esta aproximación les permitió no solo verificar la existencia de cuentas, sino también recopilar metadatos como claves públicas de cifrado, información de dispositivos asociados (móvil principal y dispositivos complementarios), y, cuando estaban configurados como públicos, fotos de perfil y textos de estado.

“El acceso directo a las API, en lugar de usar la interfaz de usuario de la aplicación, fue clave para alcanzar velocidades de enumeración sin precedentes”, explican los autores del estudio.

Hallazgos preocupantes sobre privacidad y reutilización de claves

El análisis exhaustivo de los 3.500 millones de cuentas identificadas reveló varios hallazgos preocupantes. En primer lugar, los investigadores descubrieron que el 58% de los números telefónicos filtrados en el incidente de Facebook de 2021 aún estaban activos en WhatsApp a mediados de 2025, demostrando la larga vida útil de los datos una vez comprometidos y su potencial para ser utilizados en campañas de phishing, spam o estafas telefónicas automatizadas.

Además, el estudio identificó casos preocupantes de reutilización de claves criptográficas. Encontraron aproximadamente 2,3 millones de claves públicas X25519 que se reutilizaron en múltiples dispositivos, incluyendo casos extremos donde ciertas claves públicas aparecían en más de 100.000 números de teléfono distintos. En uno de los casos más alarmantes, 20 números telefónicos —principalmente en Estados Unidos— utilizaban una clave privada compuesta enteramente por ceros, lo que sugiere la presencia de generadores de números aleatorios defectuosos o implementaciones no estándar del protocolo de cifrado.

“La reutilización de claves criptográficas compromete fundamentalmente los principios de seguridad del cifrado de extremo a extremo, ya que permite a atacantes potencialmente descifrar comunicaciones supuestamente seguras”, advierten los investigadores.

Impacto en usuarios de países con restricciones a WhatsApp

El estudio también analizó los riesgos para usuarios en países donde WhatsApp está oficialmente prohibido, como China, Myanmar, Irán y Corea del Norte. Los investigadores identificaron millones de cuentas activas en estas naciones, incluyendo aproximadamente 59 millones en Irán antes de que el país levantara su prohibición en diciembre de 2024.

“En regiones donde el uso de ciertas aplicaciones de mensajería está restringido por los gobiernos, la exposición de que un ciudadano utiliza estos servicios puede tener consecuencias graves, incluyendo persecución, detención o incluso riesgo para la vida”, señala el documento. Este hallazgo pone de manifiesto cómo las vulnerabilidades técnicas pueden traducirse en riesgos físicos reales para usuarios en contextos políticos sensibles.

Proceso de divulgación responsable y remedios implementados

Tras los hallazgos iniciales, los investigadores iniciaron un proceso de divulgación responsable con Meta en septiembre de 2024. Sin embargo, según detallan en su documento, no recibieron respuestas sustanciales hasta abril de 2025, cuando ya habían completado su estudio y confirmado que la vulnerabilidad persistía.

El 10 de noviembre de 2025, los investigadores confirmaron que WhatsApp había implementado múltiples contramedidas efectivas, incluyendo:

• Sistemas de conteo de cardinalidad que limitan cuántas cuentas únicas puede consultar un usuario durante la vida útil de su cuenta
• Restricciones en la visibilidad de información pública como fotos de perfil y textos de estado
• Eliminación de marcas de tiempo en las fotos de perfil
• Corrección de problemas de reutilización de claves en dispositivos Android

En un comunicado oficial incluido en el artículo, WhatsApp reconoció el trabajo de los investigadores: “Agradecemos la colaboración de los investigadores en las pruebas de mitigación y el fortalecimiento de nuestras defensas como resultado. Como recordatorio, los mensajes de los usuarios permanecen privados y seguros gracias al cifrado de extremo a extremo predeterminado de WhatsApp”.

Reflexiones sobre la centralización de servicios de mensajería

El estudio concluye con una reflexión crítica sobre los riesgos inherentes a la centralización de servicios de comunicación. Con más de 3.500 millones de usuarios, WhatsApp se ha convertido en una infraestructura crítica de comunicación global, similar a estándares como el correo electrónico, pero sin el mismo nivel de transparencia, gobernanza colaborativa o interoperabilidad.

“Incluso con cifrado de extremo a extremo, las plataformas centralizadas recopilan metadatos que ofrecen una imagen sorprendentemente detallada de sus usuarios”, señalan los investigadores. “Una solución más deseable sería un protocolo de mensajería instantánea federado ampliamente adoptado que admita cifrado de extremo a extremo y mitigue los riesgos asociados con la centralización”.

Este hallazgo refuerza la necesidad de regulaciones como la Ley de Mercados Digitales (DMA) de la Unión Europea, que clasifica a WhatsApp como un “guardián” y exige interoperabilidad, aunque su implementación real sigue siendo limitada debido a desafíos técnicos y de privacidad.