WhatsApp, la aplicación de mensajería más usada del planeta, sufrió una vulnerabilidad que posibilitó la recolección de 3.500 millones de cuentas activas a nivel global, según descubrieron investigadores de la Universidad de Viena y SBA Research.
El fallo afectó el sistema de descubrimiento de contactos y fue utilizado para construir un "listín telefónico" masivo.
Desde la firma, propiedad de Meta, confirmaron que ya se aplicaron medidas correctivas tras el hallazgo.
El origen del problema está en la función de Contact Discovery (descubrimiento de contactos) de WhatsApp, que permite a la app verificar si un número está registrado en la plataforma.
Los investigadores automatizaron este mecanismo para enviar cientos de millones de números por hora (hasta 7.000 por segundo y por sesión) desde una misma IP, sin que el sistema impusiera un "límite real" de peticiones.
Gracias a esa automatización, según trascendió, se confirmaron 3.500 millones de números registrados en WhatsApp (cuentas activas).
A partir de la acción, se verificaron los números telefónicos y también se recopilaron "datos públicos" asociados a cada cuenta, como:
Según los datos que trascendieron en el estudio, alrededor de 57% de esos usuarios tenía una foto de perfil visible para cualquiera, y 29% tenía texto público en su "acerca de". Por otro lado, también se infirió otra información, sistema operativo (Android o iOS), edad de la cuenta y cantidad de dispositivos vinculados (como WhatsApp Web).
Aunque los mensajes de WhatsApp siguen cifrados de extremo a extremo y no se accedió al contenido privado, el riesgo está en el uso masivo de esos datos públicos.
Tener un directorio tan grande de números permite a actores maliciosos lanzar campañas de spam, phishing o llamadas automatizadas, ya que saben qué números existen y están activos en la plataforma. También preocupa su potencial uso en países donde WhatsApp está prohibido, como parte de la vigilancia estatal, al facilitar la identificación de usuarios activos en esos territorios.
Además, en el análisis de las claves criptográficas, los investigadores encontraron que algunas se reutilizaban en múltiples cuentas: esto podría deberse al uso de clientes no oficiales o fraudulentos, algo que abre otra debilidad de seguridad.
Sobre el modelo mismo: los investigadores cuestionan que WhatsApp use números de teléfono como identificador único, ya que tienen poca aleatoriedad y son susceptibles de ser "enumerados" masivamente.
Los investigadores notificaron a WhatsApp del problema en abril de 2025, y la empresa reaccionó implementando contramedidas en octubre de 2025, específicamente limitando la cantidad de peticiones "rate limiting".
Finalmente, Meta resaltó que no detectó evidencia de uso malicioso de esta vulnerabilidad fuera del estudio, y destacó que los datos expuestos son aquellos que ya estaban disponibles públicamente según las configuraciones de privacidad de cada usuario.
La compañía también agradeció el reporte a través de su programa "bug bounty", algo que sugiere que lo consideran un hallazgo legítimo de investigación de seguridad.