Descubren una grave brecha de seguridad en WhatsApp que expuso millones de datos personales
Un grupo de investigadores de la Universidad de Viena ha revelado una vulnerabilidad de diseño en WhatsApp que permitió la recopilación masiva de números de teléfono, fotos de perfil y estados de usuarios en todo el mundo. El fallo, detectado a comienzos de 2025 y comunicado a Meta en abril, es considerado por los expertos como la filtración de datos relacionada con números de teléfono más extensa jamás documentada.
El alcance del incidente es global: los investigadores lograron construir una base de datos que incluye hasta 3.500 millones de cuentas activas en 245 países, exponiendo así a prácticamente toda la base de usuarios de WhatsApp. El procedimiento consistía en enviar millones de combinaciones numéricas por hora a los servidores de la plataforma, que devolvían automáticamente respuestas sobre la existencia de cuentas registradas junto con sus imágenes de perfil y mensajes de estado, debido a la ausencia de límites efectivos en la velocidad de consulta.
Según Aljosha Judmayer, uno de los autores del estudio, «hasta donde sabemos, esto es la filtración de números de teléfono y datos de usuario relacionados más extensa jamás documentada». La magnitud de la brecha llevó a Meta, propietaria de WhatsApp, a implementar en octubre una limitación de velocidad mucho más estricta. Los expertos consideran que la respuesta técnica fue adecuada pero tardía, pues durante meses el defecto estuvo abierto a posibles usos maliciosos.
La noticia llega en un contexto de creciente preocupación por la privacidad digital y el auge de la inteligencia artificial, que ya está siendo objeto de debate y regulación tanto en Europa como a nivel global. De hecho, la filtración se ha producido en medio de una oleada de estafas online explotando datos obtenidos a través de vulnerabilidades en aplicaciones de mensajería y redes sociales, lo que intensifica el clima de alerta entre usuarios y autoridades.
En respuesta al incidente, WhatsApp ha empezado una transición significativa: la aplicación ya prueba en versión beta la posibilidad de crear nombres de usuario únicos, eliminando gradualmente el número de teléfono como identificador principal. Esta estrategia busca reforzar la seguridad de los perfiles e impedir la automatización de ataques como el detectado por los investigadores.
Meta asegura que, tras la implantación de estas limitaciones y la transformación de su modelo identificativo, un ataque similar no podría replicarse con la misma facilidad ni alcance. Sin embargo, organizaciones y expertos en ciberseguridad recomiendan a los usuarios extremar la cautela, revisar la configuración de privacidad y estar atentos ante posibles intentos de suplantación o fraude vinculados a datos personales expuestos.
El caso destaca los desafíos que enfrentan las grandes plataformas tecnológicas para garantizar la privacidad y protección de datos en una era en la que la escalabilidad y la automatización ponen a prueba los límites de la seguridad digital. La reacción de Meta da paso a un nuevo debate sobre la responsabilidad proactiva de las empresas tecnológicas, la necesidad de controles más estrictos y el desarrollo de marcos regulatorios internacionales que se adapten al vertiginoso avance de la tecnología y sus riesgos asociados.
