Publicado: noviembre 19, 2025, 2:00 pm
La fuente de la noticia es https://www.abc.es/tecnologia/descubren-vulnerabilidad-whatsapp-puso-peligro-datos-3500-20251119181603-nt.html
Una vulnerabilidad en WhatsApp ha permitido identificar 3.500 millones de cuentas activas a nivel global en el servicio de mensajería como parte de una investigación que ha usado un generador de números y que ha ayudado a corregir el fallo para evitar la … exposición de estos datos.
Los nuevos usuarios de WhatsApp pueden descubrir si los contactos que tienen guardados en la agenda del móvil tienen una cuenta en el servicio de mensajería con solo permitir el acceso de la aplicación a este elemento. Esto es posible porque WhatsApp guarda un registro de sus usuarios vinculado a sus números de teléfono para facilitar este descubrimiento.
Sin embargo, este mecanismo «se puede utilizar indebidamente para comprobar si un individuo específico (como un funcionario gubernamental, una expareja o un empleador) está registrado en WhatsApp» con solo saber el número de teléfono, como ha advertido un grupo de investigadores de la Universidad de Viena y la Universidad Técnica de Viena (Austria).
Si bien WhatsApp ha mejorado la privacidad, este mecanismo se puede explotar para crear bases de datos a gran escala con los registros de los números de teléfono, que posteriormente actores maliciosos pueden usar en campañas de ‘spam’, ‘phishing’ o llamadas automatizadas.
Para comprobar esta vulnerabilidad del sistema de mensajería, los investigadores han desarrollado un método para «generar rápidamente conjuntos de datos candidatos de números de teléfono potencialmente activos para 245 países», como informan en el texto de su trabajo, compartido en GitHub.
En concreto, lo que han hecho es introducir en una API de WhatsApp todos los números de teléfono que pudieron generar de manera automática para comprobar si estaban activos en el servicio, con una tasa de 7.000 números por segundo y sesión.
Lo hicieron desde la misma dirección IP y desde cinco cuentas de usuario, sin que WhatsApp las bloqueara, lo que al final les permitió confirmar 3.500 millones de números registrados (cuentas activas). Esta cifran, según dicen, «supera el ‘más de 2.000 millones de personas’ declarado oficialmente desde WhatsApp».
Adicionalmente, usaron la API XMPP de WhatsApp para extraer más datos sobre cada una de las cuentas: claves públicas de encriptación, marcas de tiempo, imagen de perfil e información de empresa.
«La gran cantidad de puntos de datos nos permite no sólo realizar un censo detallado de la población de usuarios de WhatsApp, sino también dar una idea de las interesantes observaciones macroscópicos a gran escala que el servicio de mensajería instantánea es capaz de obtener, incluso sin tener acceso al contenido del mensaje», apuntan los investigadores.
Con este enfoque pudieron descubrir, por ejemplo, que Europa representa el 18 por ciento de la base de usuarios de WhatsApp y que el 64 por ciento de ellos usa Android, frente al 36 por ciento que tiene un móvil iOS. Asia se sitúa como el mayor mercado, ya que acapara el 47 por ciento de los usuarios. De ellos, el 88 por ciento usa Android y el 12 por ciento, iOS.
Los investigadores comunicaron su descubrimiento a WhatsApp y trabajaron con la compañía para implementar contramedidas, algo que se hizo efectivo a principios de octubre. WhatsApp también aceleró algunas de las medidas que tenía en desarrollo para aplicarlas lo antes posible.
