- Investigadores en Austria demostraron que la función de descubrimiento de contactos de WhatsApp permitió enumerar 3.500 millones de números.
- Se accedió además a fotos de perfil (57%) y a textos de perfil (29%) de cuentas con visibilidad abierta.
- Meta aplicó en octubre medidas de limitación de velocidad y afirma que no hay pruebas de abuso malicioso; el cifrado se mantuvo intacto.
- Riesgos: spam, phishing y doxxing, con impacto en España y Europa; recomendaciones para reforzar la privacidad.
Una investigación académica ha puesto contra las cuerdas a WhatsApp al demostrar que un uso masivo y automatizado de su descubrimiento de contactos permitió confirmar qué números de teléfono usan la app. El equipo, con sede en Viena, probó sistemáticamente combinaciones y logró identificar 3.500 millones de números registrados en el servicio de mensajería.
No se trató de un ataque a los servidores ni de una intrusión compleja, sino de explotar un comportamiento previsto: la función que te dice si un número está en WhatsApp. Como efecto colateral, los investigadores también pudieron recopilar fotos de perfil (57%) y, en otro 29%, el texto público del perfil, cuando los usuarios no habían restringido esa visibilidad.
Qué se descubrió y cómo se llevó a cabo
El método fue la llamada “enumeración”: automatizar la consulta de números en la libreta de contactos virtual de WhatsApp para comprobar si existen cuentas asociadas. Al carecer de límites efectivos durante el estudio, el sistema permitió revisar decenas de millones de números por hora hasta cubrir prácticamente el planeta.
El grupo avisó a Meta en abril y suprimió la base de datos generada tras validar el alcance del problema. Según las fuentes citadas, la compañía implementó en octubre de 2025 una limitación de velocidad más estricta que frena este tipo de barridos a escala industrial.
Las cifras ilustran el calibre del hallazgo: en Estados Unidos, de 137 millones de números confirmados, el 44% mostraba foto y el 33% texto de perfil; en India, la visibilidad de imágenes alcanzó el 62%, y en Brasil, el 61%. Incluso se detectaron millones de cuentas en países con restricciones, como China (2,3 millones) o Myanmar (1,6 millones), lo que podría facilitar la identificación de usuarios en contextos represivos.
La advertencia no surgió de la nada. Ya en 2017, el investigador Loran Kloeze señaló que la verificación masiva de números era factible si no se ponían topes claros a las consultas. Ocho años después, el equipo vienés demostró que ese riesgo seguía vigente.
Qué dice Meta y qué no ocurrió
Desde WhatsApp, Nitin Gupta (vicepresidente de ingeniería) agradeció el reporte y subrayó que la información visible dependía de la configuración de cada usuario. La empresa sostiene que sus sistemas antiscraping se reforzaron y que no hay evidencia de abuso malicioso previo. Además, recordó que el cifrado de extremo a extremo nunca se vio comprometido.
Por su parte, los autores remarcan que no fue necesario burlar defensas sofisticadas: estaban aprovechando un fallo de diseño en la propia lógica de descubrimiento de contactos y en la ausencia de límites de consulta suficientemente estrictos.
Impacto en España y Europa
En España, donde WhatsApp es casi omnipresente, la exposición de números y metadatos visibles pone el foco en la privacidad bajo el RGPD. Aunque la mensajería sigue cifrada, la combinación de número, foto y texto de perfil facilita campañas de fraude, phishing o suplantaciones que afectan a particulares y empresas.
Europa concentra una parte sustancial de la base de usuarios de WhatsApp y, según los investigadores, alrededor del 18% de cuentas se sitúa en la región. Es previsible que autoridades de protección de datos europeas y la AEPD examinen si las medidas introducidas por Meta son suficientes para evitar una recolección masiva similar en el futuro.
Qué puedes hacer ahora
Para reducir la huella pública, conviene revisar la sección de privacidad de la app y restringir al máximo quién ve tus datos. En concreto, cambiar la foto, el texto de perfil y la “última vez”/“en línea” a “Mis contactos” (o “Nadie”), activar la verificación en dos pasos y vigilar qué dispositivos tienen sesión abierta.
- Coloca la foto de perfil y la información “Acerca de” en “Mis contactos” o “Nadie”.
- Activa la verificación en dos pasos y no compartas el PIN ni los códigos.
- Limita quién puede añadirte a grupos y desconfía de enlaces acortados o promociones.
- Bloquea y reporta llamadas o mensajes sospechosos; evita responder para no confirmar actividad.
En el entorno corporativo, establecer políticas de uso de WhatsApp para trabajo, minimizar datos personales en estados o fotos, y formar a empleados contra ingeniería social reduce significativamente la exposición frente a campañas automatizadas.
¿Qué viene después para WhatsApp?
WhatsApp prueba desde hace meses la posibilidad de usar nombres de usuario únicos, una vía que, de consolidarse, podría aliviar la dependencia del número de teléfono como identificador principal y frenar la enumeración masiva.
Además de la nueva limitación de velocidad, expertos recomiendan medidas adicionales: detección de patrones anómalos, controles por origen geográfico, pruebas de humanidad reforzadas y políticas más restrictivas en APIs y clientes web para disuadir el scraping a gran escala.
El caso demuestra que una función pensada para la comodidad puede convertirse en un vector de exposición cuando se escala sin freno: la enumeración permitió confirmar 3.500 millones de números y acceder a datos visibles de perfil. Con el parche ya activo y sin evidencias de abuso masivo, la lección para usuarios en España y Europa es clara: extremar cautelas ante fraudes y exigir controles sólidos a las plataformas para evitar que algo así vuelva a repetirse.
