Mundo > Ciberataque
Filtración masiva en WhatsApp: qué datos de los usuarios se expusieron
Argentina aparece con 43,8 millones de registros expuestos, muchos con foto de perfil y estado visibles. Meta ya respondió, pero especialistas advierten que el problema de fondo sigue vigente.
POR REDACCIÓN
Una investigación académica internacional destapó uno de los incidentes de privacidad más grandes jamás registrados en una plataforma digital. Un equipo de la Universidad de Viena logró recolectar 3.500 millones de cuentas activas de WhatsApp mediante un escaneo automatizado que explotaba una debilidad en el sistema de verificación de contactos, sin necesidad de romper el cifrado ni acceder a conversaciones privadas. Entre esos datos aparecieron 43,8 millones de números argentinos, más de la población total del país, muchos acompañados por fotos de perfil y estados visibles.
Según reveló el estudio, WhatsApp permitía realizar consultas ilimitadas para saber si un número estaba registrado en la app. Esa función llamada “descubrimiento de contacto” se activa cada vez que un usuario guarda un teléfono en su agenda. El sistema respondía automáticamente si la cuenta existía y, en caso de no tener restricciones de privacidad, mostraba también la foto del perfil y la descripción del estado.
Los investigadores probaron el mecanismo desde la versión web. En solo 30 minutos juntaron 30 millones de cuentas válidas de Estados Unidos y luego escalaron el proceso al resto del mundo, generando combinaciones numéricas masivas sin tropezar con bloqueos. De esa manera construyeron una base global de 3.500 millones de registros. En el 57% pudieron ver la foto del perfil y en un 29% accedieron al texto del estado; incluso detectaron cuentas activas en países donde WhatsApp está prohibido, como China y Myanmar.
Si bien la falla no comprometió mensajes (el cifrado de extremo a extremo permaneció intacto), la magnitud del mapeo constituye un recurso valioso para estafadores digitales. Con números reales, fotos y descripciones, pueden ejecutar campañas de phishing, ingeniería social y spam altamente dirigidas.
La publicación motivó la reacción de Meta. La compañía reconoció el hallazgo, aseguró que implementó “defensas adicionales” contra la recolección automatizada y aclaró que no se trató de una fuga interna, sino de un scraping externo que requería previamente conocer un número telefónico. También insistió en que la visibilidad de fotos y estados depende de la configuración del usuario.
Sin embargo, los especialistas advierten que el problema tiene raíces más profundas. Señalan que el número de teléfono nunca fue diseñado como una clave privada universal y que, mientras siga siendo la base del sistema de identificación, cualquier mecanismo de descubrimiento puede transformarse en un vector de exposición.
En el caso argentino, la investigación ubicó al país en el puesto 19 del ranking global: se registraron 43.854.434 cuentas, de las cuales el 54,8% tenía foto visible y el 32,8% mostraba la descripción de estado. Además, el 5,4% correspondía a cuentas comerciales. Para los expertos, estos indicadores muestran la necesidad de revisar las configuraciones de privacidad y repensar cómo las aplicaciones móviles administran datos sensibles en un entorno globalizado.