WhatsApp permitió durante meses que se recopilaran datos públicos de millones de usuarios sin activar alarmas

• Nacho Grosso @grosso_nacho
• Cádiz (1973) Redactor y editor especializado en tecnología. Escribiendo profesionalmente desde 2017 para medios de difusión y blogs en español.
• • 19/11/2025 10:11
  • Actualizado: 19/11/2025 10:11

Un estudio académico acaba de revelar que una técnica de enumeración permitió comprobar qué números estaban registrados en WhatsApp y acceder a parte de su información pública sin que la plataforma lo frenara. Aunque no se trata de una filtración de mensajes, gracias al cifrado extremo a extremo, sí destapa un problema serio, durante meses fue posible recopilar datos visibles en los perfiles sin levantar ninguna alerta.

Lo que ha descubierto exactamente este estudio

Los investigadores analizaron el funcionamiento de las APIs internas de la app y comprobaron que la aplicación no aplicaba límites efectivos a consultas masivas. Gracias a ello lograron verificar la existencia de 3.500 millones de cuentas activas y recuperar elementos que los propios usuarios habían dejado como públicos, su foto de perfil, su estado, la hora de actualización de estos datos e incluso el sistema operativo del dispositivo.

El trabajo destaca que la plataforma no bloqueó las direcciones IP utilizadas ni pidió verificaciones adicionales. Los investigadores pudieron enviar miles de consultas por segundo desde un único servidor, lo que permitió un mapeo global de la base de usuarios. La situación se mantuvo durante meses sin contrap medidas, hasta que Meta reaccionó tras recibir el aviso formal.

Por qué es un riesgo para cualquier usuario

El estudio subraya que, aunque el cifrado protege los mensajes, los datos visibles del perfil siguen siendo una pieza clave en la identidad digital de una persona. La foto de perfil, por ejemplo, puede vincularse con cuentas de redes sociales, bases de datos antiguas o información filtrada en otros servicios. Los investigadores descargaron 77 millones de imágenes públicas de usuarios de Estados Unidos en cuestión de horas y comprobaron que dos tercios mostraban rostros fácilmente reconocibles.

Además, muchos estados públicos revelan más de lo que parece, afiliaciones políticas, preferencias personales, correo electrónico o enlaces directos a otras plataformas. También identificaron estados con nombres completos, datos de trabajo e incluso mensajes comerciales no verificados, lo que abre la puerta a campañas de phishing más creíbles.

Qué ha dicho WhatsApp y qué ha cambiado

WhatsApp ha implementado nuevos sistemas de protección, como límites de consultas, controles de volumen y restricciones sobre el acceso simultáneo a imágenes y estados públicos. La compañía afirma que el contenido de los chats nunca estuvo comprometido, pero reconoce que sus defensas contra el scraping necesitaban mejoras urgentes.

A partir de ahora, incluso con la visibilidad configurada en “Todos”, el número de fotos de perfil y estados que un mismo usuario puede consultar queda limitado. También han introducido controles de cardinalidad y modelos de detección para frenar comportamientos automatizados antes de que puedan recopilar grandes cantidades de información.

Qué debería hacer el usuario a partir de ahora

Los investigadores recuerdan que la única protección real para el usuario es ajustar la privacidad del perfil, limitar la foto y el estado a “Mis contactos”, revisar qué información se muestra en el texto “Sobre mí” y evitar incluir enlaces o datos personales. El estudio afirma que la visibilidad pública no supone un riesgo inmediato por sí sola, pero sí permite que actores maliciosos construyan sistemas automáticos de identificación, perfiles basados en rostros o listados de números activos para campañas masivas.

En una plataforma con más de 3.500 millones de cuentas, cualquier pequeño dato visible escala con enorme facilidad. Y durante meses, whatsapp dejó esa puerta abierta sin darse cuenta.