Hola!

*** Patrullando la red

Bienvenido a este nuestro Blog. Dedico buena parte de mi trabajo en combatir la lacra de Internet, las ciberestafas y los cibercriminales.

Navega por los títulos en el menú superior o los posts diarios aquí mismo. Salu2 y siempre seguros y fuertes !!

3,5M cuentas WhatsApp

🔒 Vulnerabilidad en WhatsApp: números de 3.500 millones de usuarios quedan expuestos

Una investigación académica reciente demuestra que una vulnerabilidad en la función de “descubrimiento de contactos” de WhatsApp permite que terceros obtengan los números de teléfono de unos 3.500 millones de cuentas activas en 245 países.



 El medio Cyber Security News recoge cómo este fallo se mantiene durante años y cómo se explota de forma automatizada a gran escala.

📱 ¿En qué consiste la vulnerabilidad?

WhatsApp utiliza una función de búsqueda de contactos que, al introducir un número de teléfono, indica si ese número utiliza la aplicación y muestra cierta información pública del perfil. La investigación muestra que:

  • Se generan números de teléfono válidos utilizando una herramienta automática y se consultan contra WhatsApp.
  • El sistema carece de límites estrictos de velocidad (rate limiting), por lo que se admite un volumen masivo de consultas.
  • Con solo unas pocas cuentas de WhatsApp autenticadas, se consultan más de 63.000 millones de números potenciales en unos meses.
  • De esas consultas se identifican alrededor de 3.500 millones de cuentas activas, lo que constituye una base de datos casi global de usuarios.

Además de confirmar qué números utilizan WhatsApp, la técnica permite obtener información adicional expuesta de forma pública en el perfil.

🔍 ¿Qué datos de los usuarios se exponen?

El estudio indica que, para más de la mitad de las cuentas analizadas, se extrae algún tipo de dato público asociado al perfil. Entre la información que queda accesible se encuentran:

  • Número de teléfono asociado a la cuenta de WhatsApp.
  • Foto de perfil (si se configura como visible).
  • Texto de “Info” o “Acerca de”, donde muchas personas incluyen datos personales, creencias o enlaces a otras redes.
  • Estado y otros metadatos públicos del perfil.
  • En algunos casos, claves públicas reutilizadas y otros datos técnicos que, si se explotan de forma maliciosa, pueden debilitar la protección cifrada.

En torno a un tercio de los usuarios mantiene mensajes de “Info” con referencias sensibles (opiniones políticas, creencias religiosas o datos que permiten unir la cuenta de WhatsApp con otros perfiles en internet), lo que incrementa la capacidad de perfilado por parte de atacantes.

⚠️ ¿Por qué resulta grave para el usuario doméstico?

Aunque los mensajes continúan cifrados de extremo a extremo, la recopilación masiva de números y perfiles crea una base de datos perfecta para diversos ataques:

  • Campañas de phishing por WhatsApp: se prepara spam o mensajes fraudulentos dirigidos, personalizados por país o por idioma.
  • Suplantación de identidad y estafas: un atacante puede combinar el número con datos públicos (foto, estados, enlaces) para hacerse pasar por la víctima o por su entorno.
  • SIM swapping y ataques contra cuentas bancarias: listas de números válidos se utilizan para intentos de duplicado de SIM y posterior acceso a banca o servicios que usan SMS.
  • Riesgo aumentado en países con restricciones: en estados donde el uso de WhatsApp se prohíbe o se persigue, la existencia de este listado facilita la vigilancia y la persecución de usuarios.
  • Exposición de pequeños negocios: las cuentas de WhatsApp Business, que suelen publicar más datos de contacto, amplían el perfil de riesgo para pymes y profesionales.

El problema no se limita a que un dato sea “público”, sino al hecho de que se recopila de forma masiva, estructurada y silenciosa. Esa agregación convierte datos dispersos en un perfil completo del usuario, mucho más útil para la ciberdelincuencia y para el mercado ilegal de datos.

🏢 Respuesta de Meta y situación actual

Según la información publicada, Meta reconoce la investigación a través de su programa de recompensas y afirma que introduce límites adicionales al ritmo de consultas en el sistema de descubrimiento de contactos. La compañía mantiene que:

  • Los datos accesibles son públicos por diseño (decisión de configuración del usuario).
  • El cifrado de los mensajes permanece intacto.
  • No se dispone de evidencias claras de explotación maliciosa a gran escala durante el periodo de prueba.

No obstante, el hecho de que los investigadores completen el estudio durante meses sin encontrar barreras técnicas reales y la existencia de claves reutilizadas y perfiles masivamente abiertos indica que el riesgo para la privacidad persiste, especialmente si atacantes replican la misma técnica con fines ilícitos.

🛡️ Recomendaciones prácticas para usuarios de WhatsApp

Desde la óptica de CIBERMURO, el objetivo es que un usuario doméstico reduzca al máximo la exposición de sus datos, incluso cuando utiliza aplicaciones muy extendidas como WhatsApp. A partir de esta noticia, se recomiendan las siguientes medidas:

1. Limitar quién ve los datos del perfil

En la app de WhatsApp, se aconseja revisar:

  • Foto de perfil: configurar en “Solo mis contactos” o, si es posible, en “Nadie”.
  • Info / Acerca de: evitar textos con datos personales (trabajo, ideología, religión, enlaces a redes) y limitar la visibilidad a “Solo mis contactos”.
  • Estado: reducir el público a contactos de confianza y evitar información sensible (rutinas, viajes, ubicación).
  • Visto por última vez y En línea: restringir a “Mis contactos” o utilizar las listas de excepciones.

2. Proteger la cuenta frente a accesos indebidos

  • Activar la verificación en dos pasos (PIN adicional) en Ajustes > Cuenta > Verificación en dos pasos.
  • Vigilar correos o SMS que solicitan códigos de verificación de WhatsApp; se considera un intento de secuestro de la cuenta.
  • No compartir el código de verificación de seis dígitos, ni siquiera con supuestos “técnicos de soporte”.

3. Reducir el impacto del perfilado

  • No utilizar la sección “Info” para publicar descripciones extensas; se prefiere un texto neutro que no permita inferir datos personales.
  • Evitar reutilizar la misma foto de perfil en todas las redes sociales; así se dificulta que un atacante vincule cuentas.
  • Desconfiar de mensajes desconocidos que llegan tras filtraciones masivas: premios, inversiones, ofertas laborales o enlaces acortados.

4. Medidas complementarias fuera de WhatsApp

  • Registrar la línea móvil en servicios de alerta de brechas de datos (si existen en la entidad bancaria o proveedor de seguridad empleado).
  • Activar notificaciones de inicio de sesión o cambios de dispositivo en correo electrónico y banca digital.
  • Formarse mínimamente en ingeniería social y estafas más habituales para reconocer señales de alarma.

📌 Conclusión

Este caso muestra cómo una funcionalidad pensada para la comodidad (añadir contactos fácilmente) se convierte en un vector de riesgo cuando no se limita el uso automatizado. Aunque WhatsApp aplica mitigaciones técnicas, la protección real de la privacidad depende en gran medida de la configuración que realiza cada persona usuaria y de su nivel de conciencia sobre lo que publica en su perfil.

La lección principal para el usuario doméstico se resume en tres ideas: minimizar la información pública en el perfil, activar las opciones de seguridad disponibles y desconfiar de mensajes inesperados, sobre todo tras noticias de filtraciones masivas.

📚 Referencias

  • Baran, G. (2025, 19 de noviembre). WhatsApp vulnerability exposes 3.5 billion users’ phone numbers. Cyber Security News. Recuperado de https://cybersecuritynews.com/whatsapp-vulnerability-exposes-3-5-billion-users/