WhatsApp expuso 3.5 mil millones de números en el mundo

Una investigación realizada por especialistas de la Universidad de Viena reveló una vulnerabilidad crítica en la función de descubrimiento de contactos de WhatsApp, propiedad de Meta. El fallo permitió extraer 3.5 mil millones de números telefónicos de usuarios alrededor del mundo, convirtiéndose en una de las filtraciones más grandes jamás documentadas relacionadas con una app de mensajería.

¿Dónde estuvo el problema?

WhatsApp tiene una función destinada a facilitar la conexión entre usuarios: sincroniza tu agenda telefónica y busca cuáles contactos también usan la app. El problema es que esta función no tenía límites de consulta (rate limiting).
Esto permitió que los investigadores automatizaran peticiones masivas y, en solo 30 minutos, obtuvieran 30 millones de números de EE.UU.. A nivel global, lograron recopilar más de 3.5 mil millones de números, junto con fotos de perfil visibles y textos públicos asociados.

Para el mundo TI, esto es equivalente a una API abierta sin control de abuso: un paraíso para recolectores de datos, bots, campañas de phishing y actores maliciosos.

Meta lo sabía desde 2017

Según los investigadores, el fallo fue reportado por primera vez hace ocho años, pero Meta no aplicó protecciones básicas como:

• Límite de consultas por IP

• Control de abuso

• Detección de patrones automatizados

• Verificación de comportamiento anómalo

Meta respondió que estaba trabajando en la solución y que “no hay evidencia de explotación masiva”, pero el simple hecho de que la falla existiera durante tanto tiempo ya representa un riesgo enorme para cualquier ecosistema que dependa de WhatsApp para comunicación corporativa o atención a clientes.

Lo que NO se filtró

Es importante aclararlo:

• Los mensajes no fueron expuestos.

• La encriptación de extremo a extremo sigue intacta.

Pero eso no minimiza el impacto.

Riesgos reales para usuarios y empresas

Aunque solo se filtraron datos “públicos”, estos son suficientes para construir ataques precisos:

• Suplantación de identidad (especialmente usando foto de perfil visible)

• Ingeniería social dirigida (spear phishing)

• Spam masivo segmentado

• Vigilancia y rastreo, especialmente en países donde WhatsApp está limitado o vigilado

Para quienes trabajamos en TI, esto implica riesgo para empleados, clientes, directivos y hasta proveedores si usan números asociados a procesos críticos.

¿Qué ha cambiado ahora?

Tras hacerse pública la vulnerabilidad en noviembre de 2025, Meta implementó controles de consulta y reforzó la protección de la API interna de descubrimiento. Sin embargo, el incidente deja claro que incluso las plataformas más grandes pueden tener fallas básicas durante años.

¿Cómo aplicarlo en tu día a día como profesional de TI?

Recomendaciones prácticas:

1. Deshabilita la visibilidad pública de tu foto de perfil
   Úsala solo para “Mis contactos”.

2. No uses tu número personal para temas laborales sensibles
   Considera líneas corporativas o números virtuales.

3. Refuerza la verificación en procesos internos
   No aceptes instrucciones sensibles solo porque “vienen desde WhatsApp”.

4. Educa a tus usuarios
   WhatsApp no es un sistema seguro de identidad.

5. No bases autenticación o verificación de clientes solo en WhatsApp
   Implementa métodos adicionales (OTP, correo verificado, tokens, etc.).

6. Monitorea nuevas campañas de ingeniería social
   Filtraciones masivas suelen detonar olas de phishing.