Aunque WhatsApp suele destacar por su cifrado de extremo a extremo, una investigación reciente demostró que uno de sus mecanismos internos —el descubrimiento de contactos— puede utilizarse para obtener metadatos sensibles de millones de usuarios en muy poco tiempo.
Puntos clave del hallazgo
- La función de contact discovery permite realizar “enumeración masiva de números”, consultando a WhatsApp miles de números para saber si están registrados.
- Los investigadores pudieron extraer más de 100 millones de números por hora, sin bloqueos ni límites efectivos.
- La información obtenida incluye número telefónico, foto de perfil, descripción, claves públicas y otros metadatos.
- Esto permite verificar si una persona específica usa WhatsApp, lo que puede usarse con fines de vigilancia o acoso.
- Meta asegura estar desplegando sistemas anti-scraping, límites de consulta y mayor restricción de visibilidad en perfiles.
Cómo funciona la recolección masiva: el riesgo detrás del descubrimiento de contactos
Científicos de la Universidad de Viena y SBA Research analizaron el mecanismo que permite a WhatsApp identificar qué contactos del usuario están registrados en la aplicación.
WhatsApp compara la agenda del usuario con su base de datos de números. Los investigadores aprovecharon este proceso para:
- cargar listas masivas de números,
- consultar la base de datos de WhatsApp,
- recopilar información asociada a cada línea.
El resultado: extrajeron más de 100 millones de números por hora, sin que WhatsApp aplicara controles de tasa de consultas o bloqueo automatizado.
Esto demuestra que, aunque los mensajes estén protegidos, los metadatos siguen siendo vulnerables.
¿Cómo pueden usar tu número de teléfono en tu contra?
Al registrarse, los usuarios permiten que WhatsApp acceda a su libreta de contactos.
Esto permite saber:
- quién usa WhatsApp,
- qué información pública muestra su perfil,
- en qué momentos estuvo activo.
Los investigadores demostraron que, combinando metadatos obtenidos legalmente (foto de perfil, “about”, claves públicas), pueden inferir:
- edad aproximada de la cuenta,
- sistema operativo del dispositivo,
- cantidad de dispositivos vinculados,
- patrones de uso.
Esta información puede utilizarse para:
- rastrear a un ex–pareja, empleado o figura pública,
- perfilar usuarios,
- ejecutar campañas de phishing más precisas,
- mapear actividades en países donde WhatsApp está prohibido.
Hallazgos preocupantes: usuarios en países donde la app está prohibida
La extracción masiva reveló que millones de usuarios en China, Irán y Myanmar utilizan WhatsApp pese a su prohibición.
Esto implica riesgos legales y personales para esos usuarios.
Además, los investigadores identificaron que casi la mitad de los números expuestos en el hackeo de Facebook de 2021 siguen activos en WhatsApp, lo que aumenta el riesgo de:
- estafas telefónicas,
- suplantaciones,
- ataques de ingeniería social.
Qué dice Meta sobre la vulnerabilidad
El estudio —publicado como preprint en GitHub— aclara que:
- no se accedió a contenido cifrado,
- toda la información se eliminó antes de la divulgación,
- solo se utilizó información pública asociada a los perfiles.
Meta respondió que ya está implementando:
- sistemas anti-scraping,
- limitación de consultas,
- controles más estrictos en la visibilidad de perfiles.
Nitin Gupta, jefe de ingeniería de WhatsApp, comentó:
"Agradecemos a los investigadores por el reporte responsable. Identificaron una técnica de enumeración que superó nuestros límites previstos."
Añadió además que los nuevos sistemas anti-scraping ya están siendo desplegados y que no existe evidencia de que actores maliciosos hayan explotado esta vía.
Conclusión: los mensajes están seguros, pero los metadatos siguen siendo una debilidad
El cifrado de WhatsApp protege el contenido, pero no los metadatos, que siguen siendo una pieza crítica de la privacidad digital.
La investigación demuestra que:
- funciones inofensivas como el descubrimiento de contactos pueden ser abusadas,
- las plataformas deben reforzar controles de scraping,
- los usuarios deben limitar la visibilidad de su foto, estado y datos públicos.
En un ecosistema donde cada dato cuenta, la seguridad no termina en el cifrado: también depende de cómo se gestionan y exponen los metadatos.
Fuente: somoslibres
