Un fallo en WhatsApp expone los números de 3.500 millones de usuarios: así te afecta aunque tus chats sigan cifrados
Investigadores de la Universidad de Viena han logrado enumerar prácticamente todo el directorio de WhatsApp aprovechando la búsqueda de contactos.
La imagen de WhatsApp como refugio relativamente seguro para nuestras conversaciones ha recibido otro golpe. Un grupo de investigadores de la Universidad de Viena ha demostrado que, durante meses, fue posible construir un “listín telefónico” casi completo de la plataforma: unos 3.500 millones de números de teléfono, muchos de ellos acompañados de foto de perfil, texto de estado e incluso claves públicas de cifrado.
La clave del problema está en una función que usamos todos a diario: la búsqueda de contactos. WhatsApp comprueba si un número está registrado en el servicio y, si lo está, muestra parte de su ficha de perfil. Los investigadores consiguieron automatizar este proceso a gran escala en la versión web de la app, enviando decenas de miles de millones de números generados de forma realista y verificando más de 100 millones de teléfonos por hora, sin toparse con límites efectivos. El resultado: un mapa global de 3.500 millones de cuentas repartidas por 245 países.
Un listín telefónico global
Su estudio, que se presentará en 2026, detalla que el experimento se desarrolló entre diciembre de 2024 y abril de 2025. En ese tiempo, no solo confirmaron qué números estaban vinculados a WhatsApp, sino que también recopilaron las fotos de perfil y los textos ‘Info’ que los usuarios habían dejado en abierto, además de las claves públicas utilizadas para el cifrado de extremo a extremo. Los propios autores hablan de la “mayor exposición de números de teléfono y datos asociados jamás documentada”.
Meta, empresa matriz de WhatsApp, asegura que fue alertada en abril y que aplicó nuevas medidas de limitación de peticiones en octubre de 2025, cerrando la puerta a este tipo de enumeración masiva. También sostiene que no hay pruebas de que actores maliciosos hayan explotado la vulnerabilidad, y recalca que los mensajes privados han seguido protegidos por cifrado de extremo a extremo en todo momento. Para la compañía, los datos expuestos son “información básica de carácter público” que ya estaba visible para quien tuviera tu número y tú no hubieras restringido la privacidad.
Los investigadores, sin embargo, subrayan que no hacía falta ser un superhacker para aprovechar el fallo: bastaba con escalar un comportamiento normal de usuario, añadir contactos y ver si están en la app, hasta niveles industriales. Y el impacto potencial es evidente. Con un directorio de 3.500 millones de números y perfiles asociados, resulta mucho más sencillo montar campañas masivas de spam y phishing, identificar posibles objetivos de estafas o vigilar a usuarios en países donde WhatsApp está prohibido, como China o Myanmar, donde el estudio detecta millones de cuentas activas.
Sigue el canal de MeriStation en Twitter. Tu web de videojuegos y de entretenimiento, para conocer todas las noticias, novedades y última hora sobre el mundo del videojuego, cine, series, manga y anime. Avances, análisis, entrevistas, tráileres, gameplays, podcasts y mucho más.
¡Suscríbete! Si estás interesado en licenciar este contenido, pincha aquí.