La reciente filtración masiva de números de WhatsApp expuso la existencia de más de 3.500 millones de cuentas en todo el mundo y encendió una alarma global sobre la privacidad en la plataforma. El incidente se originó a partir de una vulnerabilidad en la función de “descubrimiento de contactos”, diseñada para verificar si un número está registrado en la aplicación.
- Te puede interesar: Filtración masiva: más de 180 millones de contraseñas de usuarios fueron vulneradas
Cómo se filtraron los números de WhatsApp
Investigadores de la Universidad de Viena descubrieron que, mediante consultas automatizadas, era posible enviar miles de verificaciones por segundo, lo que permitía comprobar hasta 100 millones de números por hora sin que WhatsApp activara mecanismos de bloqueo o limitación.
Esta falta de controles abrió la puerta a una enumeración masiva: los especialistas lograron confirmar qué números estaban registrados, acceder a fotos de perfil públicas y revisar la información visible asociada a muchas cuentas.
La filtración no solo incluyó números de teléfono. Aproximadamente el 57 por ciento de las cuentas identificadas tenía foto de perfil accesible públicamente y en casi un 30 por ciento era posible ver el texto del estado o información personal que el usuario había dejado abierta.
Lo más delicado fue la detección de claves criptográficas públicas, necesarias para el funcionamiento del cifrado de extremo a extremo. Aunque no permiten leer mensajes, sí forman parte de la arquitectura que asegura la privacidad. Los investigadores incluso observaron duplicación de claves en múltiples cuentas, una irregularidad que puede debilitar la robustez del sistema criptográfico.
La falla había sido reportada a Meta en abril, pero los cambios para mitigar el problema recién se implementaron en octubre de 2025. La compañía sostiene que no tiene evidencia de que actores maliciosos hayan explotado esta técnica antes del parche, y remarca que la información expuesta proviene de perfiles que los propios usuarios mantenían públicos.
El impacto de esta filtración en la ciberseguridad
Sin embargo, los expertos advierten que el tamaño de la filtración es inédito y que los riesgos asociados no son menores. El número de teléfono, al ser el identificador central de la plataforma, queda expuesto como punto de entrada para campañas de spam, estafas por WhatsApp, ingeniería social y phishing. La confirmación de que un número está activo permite a organizaciones criminales optimizar sus bases de datos y dirigir ataques de forma más precisa.
En países con regímenes represivos o donde WhatsApp está prohibido, la filtración podría tener un impacto aún más grave: gobiernos podrían identificar a quienes usan la app, sus fotos de perfil y parte de su información pública, abriendo la posibilidad de vigilancia o persecución. Aunque los mensajes continúan protegidos por el cifrado, el incidente demuestra que la seguridad del contenido no basta si la información periférica de los usuarios queda expuesta.
A esto se suma un efecto más amplio: la confianza. Para millones de personas, WhatsApp es sinónimo de comunicación segura, pero este episodio revela brechas importantes en la arquitectura de privacidad y plantea preguntas de fondo sobre el uso del número telefónico como credencial universal.
- Te puede interesar: Rusia lanzó Max, la alternativa a WhatsApp que nace con una polémica bajo el brazo
Para los usuarios, la principal recomendación es revisar la configuración de privacidad y limitar quién puede ver la foto de perfil, el estado y la información personal. También es importante mantener la app actualizada y desconfiar de mensajes, llamadas o códigos enviados por desconocidos. La filtración no expuso chats, pero sí dejó al descubierto la dimensión más frágil del ecosistema: la identidad pública asociada a cada cuenta.
