Grave brecha en WhatsApp: un fallo de seguridad filtra 3500 millones de números de teléfono

Un nuevo fallo de seguridad de WhatsApp ha permitido a un grupo de investigadores enumerar hasta 3.500 millones de números de teléfono y los datos asociados de usuarios de todo el mundo. No se trata de un hackeo clásico con malware o robo de contraseñas, sino del aprovechamiento masivo de la forma en que la propia app gestiona la función de añadir contactos, una función que usamos casi sin pensarlo.

Los investigadores de la Universidad de Viena han demostrado que, al automatizar el envío de miles de millones de números al sistema de descubrimiento de contactos de WhatsApp, podían saber qué números estaban registrados y escargar parcialmente la información pública de cada perfil. El resultado es, en la práctica, un enorme directorio global de usuarios de WhatsApp, algo que debería preocupar a cualquiera que valore su privacidad, aunque sea mínimamente.

Qué ha pasado exactamente con este fallo de WhatsApp

By plugging tens of billions of phone numbers into WhatsApp’s contact discovery tool, researchers found “the most extensive exposure of phone numbers” ever—along with profile photos and more. https://t.co/fHhmwl1mDs

— WIRED (@WIRED) November 18, 2025

WhatsApp permite que, al agregar un número a la agenda, la app compruebe si esa persona usa el servicio y muestre su nombre, foto y otros detalles públicos del perfil. El problema es que la plataforma apenas imponía límites a cuántas comprobaciones por minuto se podían realizar, así que los investigadores automatizaron el proceso y consultaron decenas de miles de millones de números hasta identificar 3.500 millones de cuentas activas.

Además del número de teléfono, pudieron descargar información adicional cuando el usuario la tenía configurada como pública: foto de perfil, texto de ‘Info’, tipo de cuenta (personal o de empresa), e incluso ciertos datos técnicos del dispositivo y claves públicas de cifradoo. En Estados Unidos, llegaron a recopilar decenas de millones de imágenes de perfil, muchas con rostros perfectamente reconocibles, lo que facilita la creación de bases de datos que asocian rostros con números de teléfono, sin que el usuario lo sepa.

La respuesta de WhatsApp y por qué debería importarte

Meta, la empresa propietaria de WhatsApp, sostiene que lo que han hecho los investigadores es básicamente «scraping» de información que ya era pública y que en ningún momento se expusieron los mensajes privados, que siguen protegidos por cifrado de extremo a extremo. Aun así, tras ser notificada, la compañía ha aplicado contramedidas: límites más estrictos a las consultas de números, menos datos accesibles por defecto y correcciones en ciertas implementaciones del cliente, especialmente en Android.

El problema de fondo, sin embargo, es que WhatsApp usa el número de teléfono como identificador principal y los números son relativamente fáciles de recorrer de forma automática. Incluso se han identificado millones de cuentas en países donde la app está prohibida, como China e Irán, lo que, si un gobierno hiciera la misma enumeración, podría convertirse en una lista de usuarios «ilegales». Y aquí es donde ya no hablamos solo de spam o phishing, sino de riesgos muy serios para algunas personas.

Qué puedes hacer para mejorar tu privacidad en WhatsApp

La vulnerabilidad ha sido mitigada, pero eso no significa que debas olvidarte del tema. Si usas WhatsApp a diario en tu móvil Android, merece la pena dedicar unos minutos a revisar los ajustes de privacidad. En «Privacidad > Foto del perfil», «Info» y «Visto por última vez y en línea», lo más recomendable es elegir «Solo contactos» o incluso «Nadie» si quieres minimizar tu huella pública.

También es buena idea limitar quién puede añadirte a grupos, mantener la app siempre actualizada y desconfiar de mensajes inesperados que usen tu nombre completo u otros detalles que podrían haberse obtenido de bases de datos como esta. El número de teléfono es uno de los datos más sensibles que llevamos encima, y a veces solo nos acordamos cuando ya es tarde. Por estos motivos, es importante utilizar nombres de usuario, ya que esto añade una capa efectiva de protección de datos. ¿Vas a aprovechar este aviso para revisar la privacidad de tu cuenta de WhatsApp o prefieres seguir como hasta ahora?