Ciberseguridad Filtración de datos Meta WhatsApp

Fallo masivo en WhatsApp expone 3.500 millones de números y datos sensibles en todo el mundo

Admin noviembre 19, 2025

Fallo masivo en WhatsApp expone 3.500 millones de números y datos sensibles en todo el mundo

Un fallo sin precedentes en la mayor app de mensajería

WhatsApp sufrió una exposición masiva de datos tras revelarse que un fallo básico permitía consultar sin límites si cualquier número de teléfono tenía cuenta activa. La misma función que facilita añadir contactos abrió la puerta a la reconstrucción casi total del directorio global de la plataforma.

Investigadores de la Universidad de Viena y SBA Research demostraron que era posible extraer números activos, fotos de perfil, textos públicos, claves criptográficas y diversos metadatos. El volumen alcanzado convierte el incidente en una de las mayores exposiciones de datos personales jamás documentadas.

Cómo los investigadores explotaron la vulnerabilidad

La función de verificación de números carecía de limitaciones de velocidad y de mecanismos anti‐explotación, especialmente en la versión web. Los investigadores simplemente automatizaron un proceso disponible para cualquier usuario.

El método empleado

Generar números válidos en distintos países.

Consultar si esos números estaban registrados en WhatsApp.

Extraer datos públicos visibles asociados a cada cuenta.

La falta de barreras permitió realizar 100 millones de consultas por hora. Entre diciembre de 2024 y abril de 2025, con solo cinco cuentas autenticadas y un servidor universitario, revisaron 63.000 millones de números y confirmaron 3.500 millones de cuentas activas.

Qué información quedó comprometida

Números de teléfono

El identificador central de WhatsApp fue completamente accesible, exponiendo un dato único y persistente para cada usuario.

Fotos de perfil y mensajes de “info”

El 57% de los usuarios tenía foto visible públicamente y el 29% mostraba textos sensibles como afiliaciones políticas, religiosas o enlaces a otros perfiles. En Norteamérica, la descarga de fotos públicas superó los 3,8 terabytes y dos tercios contenían rostros detectables mediante reconocimiento facial.

Claves criptográficas y metadatos técnicos

También se accedió a claves públicas utilizadas en el cifrado de extremo a extremo y se identificaron 2,9 millones de casos de reutilización de claves, lo que plantea riesgos adicionales. A ello se sumó información sobre dispositivos vinculados a cada cuenta.

Impacto desigual según la región

La extracción permitió elaborar un mapa global del uso de WhatsApp:

India: 749 millones de cuentas, 62% con fotos públicas.

Brasil: 206 millones de cuentas, 61% con fotos visibles.

Estados Unidos: 137 millones, con 44% mostrando foto y 33% texto público.

Irán: 60 millones de usuarios pese a la prohibición estatal.

China: 2,3 millones de cuentas, aun con la aplicación oficialmente vetada.

Una falla estructural de privacidad

El problema no se limitaba a la falta de límites de consulta. La dependencia del número telefónico como identificador universal facilita la enumeración masiva, ya que estos números siguen patrones conocidos y no son credenciales privadas.

WhatsApp ya está probando un sistema basado en nombres de usuario para disminuir la exposición asociada a los números de teléfono.

Meta reacciona tarde y bajo presión

La primera advertencia sobre esta vulnerabilidad se registró en 2017. En aquel momento, Meta consideró que la aplicación funcionaba como estaba diseñada. Entre 2024 y 2025 se enviaron nuevos reportes sin que la empresa actuara.

Finalmente, en octubre de 2025 se implementó una limitación estricta de consultas. Meta sostiene que los datos expuestos eran públicos, que no hay evidencia de explotación maliciosa y que el cifrado de mensajes no se vio comprometido. Los investigadores, en cambio, afirman que no existían defensas efectivas y no descartan extracciones previas realizadas por terceros.

Consecuencias potenciales

La reconstrucción del directorio global puede habilitar múltiples abusos:

Campañas de spam y phishing a gran escala.

Doxxing y extorsión mediante fotos y textos públicos.

Persecución estatal en regiones donde WhatsApp es ilegal.

Robo de identidad combinado con filtraciones previas.

Recomendaciones para los usuarios

Configurar fotos, info y visibilidad de perfil solo para contactos.

Evitar información personal sensible en la sección pública.

Revisar dispositivos vinculados y eliminar accesos desconocidos.

Desconfiar de mensajes provenientes de números extranjeros.

Adoptar alias o nombres de usuario cuando la función esté disponible.

s0rK

Fallo masivo en WhatsApp expone 3.500 millones de números y datos sensibles en todo el mundo

Fallo masivo en WhatsApp expone 3.500 millones de números y datos sensibles en todo el mundo

Un fallo sin precedentes en la mayor app de mensajería

Cómo los investigadores explotaron la vulnerabilidad

El método empleado

Qué información quedó comprometida

Números de teléfono

Fotos de perfil y mensajes de “info”

Claves criptográficas y metadatos técnicos

Impacto desigual según la región

Una falla estructural de privacidad

Meta reacciona tarde y bajo presión

Consecuencias potenciales

Recomendaciones para los usuarios

Banco Santander investiga una filtración de datos tras el ataque a ING: BreachParty estaría detrás

Exploit en ChatGPT Atlas permite plantar comandos ocultos en la memoria persistente: qué debes saber

Google Gemini 3 Pro y Nano Banana 2: los nuevos modelos de IA que podrían lanzarse muy pronto

WhatsApp lanza el cifrado con llave de acceso para tus copias de seguridad: así se activa paso a paso

Cuidado con los trucos para videojuegos: así te roban tus datos al jugar por Internet