ARTDEPARTMENT

close
Solicitar una consulta

la mayor exposición de datos de la historia

Publicado el 
noviembre 19, 2025

WhatsApp, la aplicación de transporte más utilizada del planeta, friso parte de su éxito en la sencillez: puntada con añadir un número a la dietario para conocer si esa persona usa la plataforma y poder ver su foto de perfil. Lo que millones de usuarios perciben como comodidad se convirtió, sin confiscación, en la puerta de entrada al que podría ser el decano llegada no acreditado a datos personales nones documentado: la exposición de prácticamente todas las cuentas de WhatsApp a nivel mundial.

Un equipo de investigadores de la Universidad de Viena y SBA Research demostró que, sin técnicas avanzadas ni intrusiones, era posible restaurar el directorio completo de la plataforma, accediendo a 3,5 mil millones de números, adicionalmente de fotos de perfil, textos públicos, claves criptográficas y otros metadatos sensibles.

Según los propios autores, si esta ascendencia masiva hubiera sido realizada por delincuentes y no como parte de una investigación realizada por profesionales éticos, estaríamos hablando de "la decano filtración de datos de la historia".

¿En qué consistía el equivocación?

WhatsApp permite conocer si un número existe en la plataforma simplemente añadiéndolo como contacto. Esta funcionalidad, pensada para allanar la comunicación, no contaba con limitaciones de velocidad ni mecanismos anti‐explotación en ciertas interfaces, especialmente en WhatsApp Web.

Los investigadores no hicieron más que automatizar lo que cualquier legatario puede hacer manualmente:

  1. Ocasionar números válidos de todo el mundo.
  2. Consultar a WhatsApp si esos números tenían cuenta.
  3. Descargar los datos públicos asociados.

El sistema no detectaba actividad excesiva ni bloqueaba peticiones, lo que permitió realizar 100 millones de comprobaciones por hora. Así, entre diciembre de 2024 y abril de 2025, con solo cinco cuentas autenticadas y un servidor universitario, lograron consultar 63 mil millones de números y confirmar 3.5 mil millones de cuentas activas.

Qué datos quedaron expuestos

  • Números de teléfono: El cantidad central, pero además el más sensible: un identificador personal único y persistente.
  • Fotos de perfil y mensajes 'info': El 57% de los usuarios tenía su foto visible a cualquier desconocido, y un 29% mostraba texto conocido con información personal —a veces extremadamente delicada— como afiliaciones religiosas, políticas o incluso enlaces a redes como Tinder u OnlyFans. Sólo en Norteamérica, la descarga de fotos visibles supuso 3.8 terabytes de imágenes. En un muestreo, dos tercios contenían rostros reconocibles mediante algoritmos de inspección facial.

Si acabas de actualizar WhatsApp en Windows, verás que su consumo de RAM se ha multiplicado. Hay una razón para eso

  • Claves criptográficas y metadatos técnicos: De forma inesperada, los investigadores accedieron además a claves públicas utilizadas para el secreto de extremo a extremo. No se comprometieron mensajes, pero sí se identificaron 2.9 millones de casos de reutilización de claves (un moribundo problema de seguridad).
  • Información sobre dispositivos vinculados: WhatsApp revelaba cuántos dispositivos tenía asociada cada cuenta, un cantidad que puede sugerir hábitos de uso o prácticas sospechosas (como el uso múltiple en redes de spam) .

WHATSAPP Trucos y consejos para OCULTARTE AL MÁXIMO y prolongar tu PRIVACIDAD

Un peligro desigual según el país

Los datos permitieron construir un carta detallado del uso entero de WhatsApp. Entre los hallazgos más llamativos:

  • India: 749 millones de cuentas; el 62% mostraba foto pública.
  • Brasil: 206 millones; 61% con foto visible.
  • Estados Unidos: 137 millones; 44% con foto y 33% con texto conocido.
  • Irán: 60 millones pese a la prohibición vivo de la app, un peligro enorme para los usuarios si el Estado hubiese accedido a la información.
  • China: 2,3 millones de cuentas pese a la prohibición oficial que impera además en China respecto a la app de Meta.

Una crisis de privacidad estructural

Los investigadores señalan que la raíz del problema no es solo la abandono de límites de consulta, sino el propio uso del número de teléfono como identificador universal. Los números telefónicos:

  • son fáciles de enumerar,
  • siguen patrones conocidos por país,
  • no están diseñados para servir como credenciales secretas.

Luego, cualquier plataforma basada en ellos queda expuesta a ataques de enumeración masiva. Sin un ritmo de consulta extremadamente acotado, la privacidad depende más de la opacidad por prominencia que de la seguridad auténtico. WhatsApp parece tener tomado nota: ya ha empezado a testear un sistema de nombres de legatario, que podría compendiar esta dependencia del número telefónico.

La respuesta de Meta: ocho abriles tarde

El primer aviso documentado sobre esta vulnerabilidad se remonta a 2017, cuando un investigador independiente ya demostró la posibilidad de enumerar números y perfiles. Meta respondió entonces que la aplicación funcionaba 'según lo diseñado' y no consideró el hallazgo como un error remunerable en su software de recompensas. En 2024 y 2025 los avisos se multiplicaron, pero Meta no actuó hasta que la publicación del estudio era inminente.

Signal vs. WhatsApp: las grabaciones que la Guardia Civil posee de Santos Cerdán desvelan un curioso debate sobre qué app es más segura

Finalmente, en octubre de 2025 implementó una barrera del ritmo de consultas que bloquea la automatización a gran escalera. La compañía, sin confiscación, insiste en que:

  • toda la información expuesta era 'pública',
  • no hay pruebas de que actores maliciosos explotaran el equivocación,
  • y los mensajes siempre permanecieron cifrados.

Los investigadores, por su parte, afirman que no encontraron defensa alguna durante la ascendencia y que no está protegido que otros actores no hayan realizado la misma operación en los abriles previos.

Consecuencias potenciales: del spam al peligro físico

La reconstrucción del directorio entero de WhatsApp abre la puerta a múltiples abusos:

  • Estafas y spam: Una almohadilla de 3.5 mil millones de números activos es oro puro para redes de phishing, fraudes financieros y campañas automatizadas.
  • Doxxing y perjuicio: Las fotos públicas y textos personales permiten identificar a individuos, asociarlos a perfiles sociales o incluso a ubicaciones, gracias a nociones visibles en las imágenes .
  • Persecución estatal: En países donde la aplicación es ilegal, la mera enumeración masiva permitiría detectar y demarcar a quienes la utilizan.
  • Robo de identidad y cruces con otras filtraciones: La exposición coincide con bases filtradas previamente, como la fuga de Facebook de 2021, lo que facilita correlaciones peligrosas .

¿Qué pueden hacer los usuarios?

Aunque Meta ha corregido el equivocación, la exposición ya ocurrió. Expertos recomiendan:

  • Configurar foto de perfil, 'info' y privacidad de conexión como datos visibles sólo para sus contactos.
  • Evitar información personal sensible en la sección 'info'.
  • Revisar dispositivos vinculados y eliminar aquellos desconocidos.
  • Desconfiar de mensajes sospechosos, especialmente si provienen de números extranjeros.
  • Considerar el uso de apelativo o nombres de legatario cuando la función esté plenamente acondicionado.

Vía | Wired

Imagen | Marcos Merino mediante IA

En Genbeta | Mi móvil estaba "secuestrado" por 70 GB de chats y archivos de WhatsApp: así logré vaciarlos sin perder carencia

Source link

Compartir este artículo

[social_warfare]

Consultoria Personalizada

¡Si aun no tienes presencia en internet o 
necesitas ayuda con tus proyectos, por favor, escribenos!

Enviar Consulta Gratis

Más para leer

Los grandes líderes tecnológicos ya no niegan que la burbuja de la IA pueda ser real. En vez de pincharla, piden ayuda

Gemini 3 Pro: La Nueva Era Agéntica de Google DeepMind

la mayor exposición de datos de la historia

En ARTDEPARTMENT nos especializamos en brindar soluciones para que tu negocio, empresa o proyecto sea visible en internet.

Diseño WEB

  • Tiendas Ecommerce
  • Paginas Web para Empresas
  • Plataformas de educación virtual
  • Proyectos Personalizados

Hosting

  • Cloud Hosting NVMe SSD
  • Cloud Hosting para Tiendas Ecommerce
  • WordPress Hosting NVMe SSD

Google Ads

  • Planificación y ejecución de campañas
  • Optimización de Landing Pages
  • Optimización de anuncios

WordPress

  • Diseño de plantillas personalizadas para WordPress
  • Optimización de plugins para WordPress
  • Performance & Seguridad en WordPress
  • Soporte y Mantenimiento de WordPress

Posicionamiento SEO

  • Auditoria SEO
  • Local SEO
  • SEO para Ecommerce
  • Link Building SEO
cloud-syncearthbullhorn linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram