Una investigación académica reveló una vulnerabilidad en WhatsApp que permitió identificar 3 mil 500 millones de cuentas activas en todo el mundo, una cifra que incluso supera los “más de 2 mil millones” que la empresa declara oficialmente. El hallazgo, realizado por especialistas de la Universidad de Viena y la Universidad Técnica de Viena, expone cómo un mecanismo legítimo de la app podía ser explotado para crear enormes bases de datos con números reales.
Un fallo en una función cotidiana
WhatsApp permite que cualquier usuario descubra si un número de su agenda tiene cuenta en la plataforma. Es una función diseñada para facilitar la comunicación… pero también abre la puerta a abusos: basta con conocer un número para saber si esa persona —un funcionario, una expareja o un empleado— usa WhatsApp.
Los investigadores demostraron que este mecanismo podía escalarse hasta niveles masivos.
Cómo lograron identificar miles de millones de cuentas
El equipo desarrolló un generador automático capaz de crear listas de números potenciales en 245 países. Luego introdujo esos números en una API de WhatsApp para verificar cuáles estaban activos.
– El sistema logró comprobar 7 mil números por segundo, desde la misma dirección IP y usando solo cinco cuentas de prueba, sin que WhatsApp aplicara bloqueos.
– El resultado: 3,500 millones de números confirmados como registrados.
– No solo números: también metadatos
Usando la API XMPP del servicio, el grupo extrajo información adicional asociada a cada cuenta, como:
• Claves públicas de cifrado
• Fechas de registro o cambios recientes
• Fotos de perfil
• Datos comerciales (en cuentas de negocio)
Aunque no accedieron a mensajes, la cantidad de metadatos permitió elaborar un “censo” global del uso de WhatsApp.
Qué descubrieron sobre los usuarios
Entre los hallazgos más llamativos:
• Asia es el mayor mercado: 47% de los usuarios.
• Europa representa el 18%.
• El 64% de los usuarios globales utiliza Android; el 36%, iOS.
• En Asia la proporción se inclina aún más: 88% Android, 12% iOS.
¿Por qué es un riesgo?
Con esta capacidad, era posible crear bases de datos gigantescas para campañas de:
• spam
• phishing
• estafas masivas
• llamadas automatizadas
Incluso permitía verificar si una persona específica usaba o no WhatsApp, afectando directamente su privacidad.
WhatsApp ya aplicó contramedidas
Los investigadores notificaron a la empresa y trabajaron con ella para corregir el fallo. Las primeras medidas quedaron activas a inicios de octubre, y WhatsApp aceleró otras protecciones que ya estaban en desarrollo.