En noviembre de 2025 salió a la luz una de las filtraciones de datos más grandes y alarmantes de la historia de Internet: aproximadamente 3.500 millones de números de teléfono asociados a cuentas de WhatsApp fueron obtenidos mediante un método de enumeración masiva que explotaba la función de descubrimiento de contactos de WhatsApp. La magnitud del incidente, sumada a la facilidad con la que fue posible recopilar esos datos desde WhatsApp, generó preocupación global entre expertos en ciberseguridad, defensores de la privacidad digital y usuarios de WhatsApp, la aplicación de mensajería más utilizada del mundo.
Pese a que Meta —empresa propietaria de WhatsApp— aplicó un parche para evitar que la vulnerabilidad de WhatsApp siguiera siendo explotada, los datos ya recolectados desde WhatsApp podrían circular indefinidamente en bases de datos privadas, foros clandestinos o incluso entre grupos organizados de ciberdelincuencia. En este artículo se analizan los detalles del incidente relacionado con WhatsApp, cómo fue posible, qué riesgos implica realmente para los usuarios de WhatsApp y, sobre todo, qué pueden hacer estos usuarios para proteger su privacidad y reducir su exposición en la era digital mientras continúan utilizando WhatsApp.
El origen del problema: Una función legítima usada de forma masiva
1. La función de descubrimiento de contactos
WhatsApp, como muchas aplicaciones de mensajería, usa un sistema llamado contact discovery o descubrimiento de contactos. Este mecanismo permite que, cuando un usuario instala la app y sincroniza su agenda, WhatsApp pueda verificar automáticamente qué número de teléfono en esa lista tiene o no una cuenta activa en la plataforma de WhatsApp.
Es una función pensada para facilitar la comunicación entre conocidos, pero también es una característica delicada desde la perspectiva de la privacidad: el proceso por el cual la aplicación WhatsApp comprueba si un número está registrado se basa en consultar la base de datos de usuarios de WhatsApp, lo que convierte a esta función interna de WhatsApp en un punto crítico para evaluar la seguridad y la gestión de datos dentro de WhatsApp.
2. ¿Cómo se explotó la función?
Un grupo de investigadores de universidades europeas decidió analizar el comportamiento del sistema de WhatsApp. Para realizar su experimento generaron millones de números de teléfono aleatorios —específicos por rangos internacionales, prefijos nacionales y patrones numéricos reales— y los consultaron sistemáticamente contra el servicio de WhatsApp para verificar si esos números estaban o no registrados en la plataforma de WhatsApp.
Lo que descubrieron fue sorprendente: podían enviar consultas a WhatsApp de forma masiva, sin límites estrictos, sin ser bloqueados por WhatsApp y sin necesidad de técnicas avanzadas. Con apenas cinco cuentas de WhatsApp, desde una misma dirección IP, lograron realizar millones de verificaciones en el sistema de WhatsApp en pocas horas, demostrando así la facilidad con la que WhatsApp podía ser enumerado en ese momento.
3. La escala: 3.500 millones de números en 48 horas
Mediante este proceso automatizado, en apenas dos días lograron identificar más de:
- 3.500 millones de números de teléfono registrados en WhatsApp.
- Cuentas correspondientes a 245 países y territorios.
- Información adicional pública disponible en los perfiles de esos usuarios.
Esto significa que lograron obtener un registro prácticamente global de los números asociados a cuentas activas de la aplicación.
Datos que quedaron expuestos: Mucho más que números
Aunque la vulnerabilidad de WhatsApp no permitía acceder a mensajes ni conversaciones —que siguen estando protegidos con el cifrado de extremo a extremo de WhatsApp—, sí facilitó la extracción masiva de metadatos de WhatsApp, lo que es extremadamente valioso desde la perspectiva de la ingeniería social, del marketing no autorizado y del crimen cibernético dirigido a usuarios de WhatsApp. Esta exposición de metadatos dentro del ecosistema de WhatsApp representa un riesgo considerable porque dichos metadatos pueden ser utilizados para construir perfiles detallados de los usuarios de WhatsApp sin necesidad de acceder directamente al contenido de las conversaciones de WhatsApp.
1. Foto de perfil pública
Alrededor del 57% de los números identificados en WhatsApp tenían una imagen de perfil visible para cualquiera dentro de WhatsApp. Esto permitió a los investigadores asociar número y rostro dentro del ecosistema de WhatsApp, algo que incrementa el riesgo de suplantación y estafas personalizadas dirigidas específicamente a usuarios de WhatsApp.
2. Texto de “info” o “estado”
El 29% de las cuentas de WhatsApp mostraba un texto público en la sección de “info” o “estado” de WhatsApp, como frases personales, información profesional, datos sobre el trabajo, cumpleaños, ciudad o pensamientos del usuario. Aunque parezca poca cosa, esa información visible en WhatsApp puede ser usada por estafadores para construir perfiles más creíbles y lanzar ataques específicos contra usuarios de WhatsApp.
3. Claves públicas y metadatos técnicos
En algunos casos, especialmente asociados a cuentas empresariales de WhatsApp o configuraciones específicas de WhatsApp, fue posible obtener claves públicas de cifrado, marcas de tiempo y otros metadatos técnicos propios de WhatsApp. Aunque no permiten leer mensajes protegidos por el cifrado de extremo a extremo de WhatsApp, sí aportan información valiosa sobre la actividad del usuario en WhatsApp y sobre la estructura de su dispositivo vinculado a WhatsApp.
4. Conexión entre número y cuenta
El simple hecho de saber que un número está registrado en WhatsApp puede ser extremadamente sensible en países donde WhatsApp está restringido, vigilado o considerado riesgoso. En esos contextos, la filtración vinculada a WhatsApp representa un problema de seguridad física además de digital, ya que confirma la presencia del usuario en WhatsApp incluso sin revelar el contenido de sus conversaciones.
¿Por qué esta filtración es tan grave?
Tener acceso al número de teléfono de una persona dentro de WhatsApp ya es un dato sumamente delicado, pero cuando esa información de WhatsApp se combina con una foto de perfil visible en WhatsApp, información pública en WhatsApp, una identidad confirmada por WhatsApp, el país y la posible ciudad estimada desde WhatsApp, así como marcas de tiempo y actividad aproximada derivadas del uso de WhatsApp, la información se convierte en una mina de oro para cualquier atacante que desee explotar la plataforma WhatsApp para realizar acciones maliciosas.
Esta combinación de elementos dentro del ecosistema de WhatsApp permite construir perfiles sumamente detallados de los usuarios de WhatsApp, incluso sin acceder al contenido de sus mensajes, y hace evidente que en WhatsApp un número no es solo un número: es una identidad digital completa expuesta a riesgos si no se protege adecuadamente dentro de WhatsApp.
Entre los riesgos directos derivados de esta filtración vinculada a WhatsApp destacan múltiples usos maliciosos que se vuelven más peligrosos gracias a la cantidad de datos recopilados desde WhatsApp. El phishing personalizado resulta mucho más efectivo cuando los atacantes poseen números, fotos y estados públicos extraídos de WhatsApp, lo que les permite enviar mensajes que parecen legítimos dentro de WhatsApp. También se potencian campañas masivas de spam y estafas realizadas con bots que utilizan bases de datos obtenidas de WhatsApp, así como técnicas avanzadas de ingeniería social que, gracias a la información de WhatsApp, permiten crear perfiles falsos capaces de engañar a familiares y amigos de la víctima.
El riesgo de acoso y doxxing aumenta cuando los datos públicos de WhatsApp se combinan con identidades reales, y en ciertos países el simple hecho de demostrar que alguien usa WhatsApp puede tener implicaciones políticas o legales graves. Además, actores maliciosos pueden seleccionar grupos específicos —como periodistas, activistas, empresarios o menores de edad— basándose en información clasificada extraída de WhatsApp, lo que facilita ataques dirigidos altamente efectivos dentro y fuera de WhatsApp.
Meta cierra la vulnerabilidad: ¿Qué se corrigió realmente?
Tras recibir la notificación del equipo investigador, Meta implementó cambios para limitar las capacidades de enumeración masiva dentro de WhatsApp, aplicando restricciones más estrictas en la cantidad de consultas permitidas por cuenta de WhatsApp, añadiendo limitaciones por dirección IP para evitar abusos dentro de WhatsApp, introduciendo reglas internas capaces de identificar patrones de escaneo masivo en WhatsApp y estableciendo verificaciones adicionales antes de permitir grandes volúmenes de solicitudes en poco tiempo dentro del sistema de WhatsApp.
Los investigadores verificaron que la vulnerabilidad de WhatsApp ya no era explotable de la misma forma después del parche, aunque sigue existiendo la inquietud de cuántos actores maliciosos podrían haber explotado esta función de WhatsApp antes de que fuera corregida, algo imposible de determinar con certeza y que incrementa significativamente la preocupación sobre la seguridad de los usuarios de WhatsApp.
¿Cómo protegerse ahora?: Acciones recomendadas
Aunque la vulnerabilidad de WhatsApp fue corregida, es fundamental que los usuarios de WhatsApp adopten medidas prácticas que reduzcan su exposición futura dentro de WhatsApp, comenzando por configurar correctamente la privacidad de WhatsApp. En WhatsApp, los usuarios pueden controlar quién ve su información, por lo que se recomienda ajustar la foto de perfil de WhatsApp a “Mis contactos”, ya que mantenerla pública dejó expuestos visualmente a millones de usuarios de WhatsApp.
También es importante cambiar la visibilidad de la sección “Info” y “Estado” de WhatsApp a “Mis contactos” o “Nadie”, porque los textos que muchos colocan en WhatsApp sin pensar —como frases, nombres o información laboral— pueden ser utilizados para ingeniería social contra usuarios de WhatsApp. Asimismo, limitar la opción de “Última conexión” y “En línea” de WhatsApp a “Nadie” reduce riesgos de seguimiento dentro de WhatsApp, y si es necesario usar una foto pública en WhatsApp, se recomienda elegir una imagen neutra distinta a la foto personal que se usa en otras redes fuera de WhatsApp.
Además, es crucial adoptar hábitos de seguridad dentro y fuera de WhatsApp, como no responder mensajes de números desconocidos en WhatsApp, ya que muchos ataques dentro de WhatsApp comienzan con un simple “Hola, ¿quién eres?”. En esos casos, lo mejor es no responder, bloquear y reportar dentro de WhatsApp.
También se recomienda no compartir el número públicamente para evitar que sea utilizado para registrarse en WhatsApp con fines maliciosos, activar la verificación en dos pasos de WhatsApp para impedir que alguien intente secuestrar tu cuenta de WhatsApp, y desconfiar de llamadas o SMS inesperados que puedan derivar de la filtración masiva relacionada con WhatsApp, especialmente porque aumentarán los intentos de estafas bancarias, falsos servicios técnicos y llamadas automáticas fraudulentas asociadas a datos obtenidos de WhatsApp.
Una lección para la era digital: La privacidad es más frágil de lo que parece
Muchos usuarios de WhatsApp creen que “no tienen nada que ocultar” o que su número en WhatsApp “no es tan importante”, pero este incidente de filtración demuestra lo contrario: el número de teléfono registrado en WhatsApp es una llave que abre puertas a múltiples servicios asociados a WhatsApp y, por lo tanto, también a posibles ataques dirigidos a usuarios de WhatsApp. La exposición de números dentro de WhatsApp evidencia que incluso datos aparentemente triviales en WhatsApp pueden tener consecuencias significativas para la seguridad digital de quienes usan WhatsApp diariamente.
Aunque el contenido de los mensajes de WhatsApp sigue protegido por cifrado de extremo a extremo, la metadata de WhatsApp sigue siendo un territorio vulnerable: números de teléfono, horas de conexión, fotos de perfil públicas y estados visibles en WhatsApp pueden ser suficientes para construir perfiles completos de usuarios de WhatsApp. Esta metadata de WhatsApp representa información valiosa que puede ser explotada por actores maliciosos para ataques de ingeniería social, spam o fraude dirigido dentro del ecosistema de WhatsApp.
La vulnerabilidad que permitió la filtración de datos de WhatsApp no implicaba un fallo en el cifrado de WhatsApp, pero sí evidenciaba una debilidad en el diseño del sistema de descubrimiento de contactos de WhatsApp, una función crítica dentro de la plataforma. Fallas de este tipo en WhatsApp deberían considerarse desde el diseño de cualquier función futura de WhatsApp, ya que la exposición masiva de datos demuestra que incluso funciones aparentemente inocuas en WhatsApp pueden generar riesgos de seguridad importantes.
En un mundo cada vez más conectado, los usuarios de WhatsApp necesitan adoptar hábitos digitales más seguros para proteger su información dentro de WhatsApp. No basta con confiar en WhatsApp como plataforma; es necesario revisar constantemente la configuración de privacidad de WhatsApp, cuestionar qué información se publica en WhatsApp y estar atentos a señales de riesgo que podrían afectar a quienes usan WhatsApp en sus comunicaciones diarias. La educación digital en torno a WhatsApp se vuelve imprescindible para reducir los riesgos derivados de filtraciones y ataques dentro de WhatsApp.
La filtración de 3.500 millones de números de WhatsApp pasará a la historia no solo por su magnitud, sino también por evidenciar cómo una función diseñada para facilitar la vida de los usuarios de WhatsApp puede convertirse en una amenaza cuando no se evalúan suficientemente sus riesgos. Este caso demuestra que incluso las aplicaciones más populares y confiables, como WhatsApp, requieren un enfoque constante de seguridad y privacidad, tanto por parte de los desarrolladores como de los propios usuarios. La protección de datos personales en WhatsApp no es algo que se pueda dar por sentado, sino un esfuerzo diario que debe combinar buenas prácticas digitales y conciencia sobre los riesgos.
Aunque la vulnerabilidad ya fue corregida por WhatsApp, los datos extraídos no desaparecerán automáticamente. Podrían ser utilizados durante años en campañas de estafa, suplantación de identidad, phishing o incluso actividades de vigilancia dirigidas a usuarios de WhatsApp. Esto pone en evidencia que la seguridad en WhatsApp depende no solo de los parches y actualizaciones de la plataforma, sino también de decisiones informadas de cada usuario, desde configurar correctamente la privacidad hasta limitar la exposición de su número de WhatsApp y desconfiar de mensajes o llamadas inesperadas.
Frente a este escenario, la mejor estrategia es la prevención consciente y la educación digital constante. Configurar adecuadamente la privacidad, proteger el número personal, limitar la información pública y mantenerse informados son pasos fundamentales para reducir riesgos dentro de WhatsApp. En ITD Consulting ofrecemos servicios especializados en ciberseguridad, protección de datos y asesoramiento sobre privacidad digital, diseñados para ayudar a empresas y usuarios a proteger sus comunicaciones en plataformas como WhatsApp. Para conocer más sobre cómo podemos ayudarte a reforzar tu seguridad digital, escríbenos a [email protected] y recibe asesoría profesional adaptada a tus necesidades.
ES 
EN