Una vulnerabilidad de WhatsApp permitía a cualquiera averiguar un número de teléfono durante 8 años
La app de mensajería de Meta expuso nombres, fotos, números telefónicos y estados de millones de usuarios, datos que ciberdelincuentes aprovecharon para estafar.
WhatsApp se ha convertido en la herramienta de comunicación definitiva para comunicarnos con la familia, el trabajo, los amigos, etc. Sin embargo, a pesar de sus funciones y de ser la app más popular del mundo, tiene un punto débil.
Y es que la plataforma, pese a su gigantesca base de usuarios, no es tan segura como parece. De hecho, una investigación publicada por Wired revela que arrastró durante cerca de ocho años una vulnerabilidad que permitía ver números de teléfono, algo que cualquier hacker podía explotar con un simple script.
Cabe señalar que esto fue posible por la función que permite añadir un número a la agenda y la app te dice al instante si esa persona está registrada. Esta simple característica bastó para que se tuviera acceso a cualquier número.
Durante años, cualquiera pudo automatizar estas consultas y obtener bases de datos enormes con números reales, nombres y fotos de perfil. El hallazgo es relevante porque, durante ese periodo, Meta no aplicó frenos efectivos pese a conocer la existencia del problema desde al menos 2017.
El resultado fueron millones de números que podían verificarse sin disparar alertas ni activar mecanismos que limitaran el abuso. ¿Cómo una función básica se convirtió en una vía para recopilar datos de tal magnitud, y por qué tardó tanto en corregirse?
Cómo funcionaba exactamente la vulnerabilidad en WhatsApp
El origen está en una característica muy simple, y es que cuando añades un número a tu agenda, WhatsApp te indica si ese usuario está registrado. Esa comprobación se hace al instante, y esto ha sido clave en el crecimiento de la plataforma.
Sin embargo, el problema es que la app permitía repetir esta verificación tantas veces como se quisiera. Según Wired, Meta no estableció límites, lo que permitía automatizar el proceso y probar millones de números consecutivos sin obstáculos.
En muchos casos, al verificar un número también era posible obtener el nombre configurado por el usuario y su foto de perfil. No era un error puntual de seguridad, sino una consecuencia directa del propio diseño del servicio.
Un riesgo silencioso para el usuario: fraudes, spam y ataques dirigidos
Tener acceso al número de teléfono de una persona no es, por sí solo, un peligro extremo. El problema aparece cuando ese número puede vincularse a su nombre, a su foto y a cualquier texto visible en el perfil.
Con esta combinación, los estafadores obtienen material suficiente para crear ciberataques más creíbles. Es por esta razón que este tipo de información alimenta prácticas como campañas de spam, estafas telefónicas y suplantación de identidad
Si tu foto, nombre y número están disponibles, un hacker puede perfilar un escenario con muy poco esfuerzo. Esa es la preocupación de los expertos, así que no hablamos de una filtración aislada, sino de un sistema que permitía hacer consultas continuas sin activar ningún tipo de protección.
Meta responde, aunque la explicación genera dudas
Meta afirma que ya trabajaba en mejoras para limitar este tipo de verificaciones y que no dispone de pruebas que indiquen un abuso generalizado. Sin embargo, los expertos advierten que un uso masivo es difícil de detectar.
Por eso, la percepción es que el impacto real podría haber sido mayor de lo que reflejan las declaraciones oficiales. La ausencia de límites durante tantos años, unida al tamaño de la base de usuarios, hace probable que actores malintencionados hayan aprovechado esta funcionalidad, aunque sea imposible medirlo con precisión.
WhatsApp es una herramienta esencial para millones de personas, pero su diseño histórico prioriza la rapidez y la simplicidad en la experiencia sobre la protección de ciertos datos básicos.
Una función pensada para facilitar que encuentres contactos terminó permitiendo recopilar información a gran escala durante casi una década, y es que cuando una plataforma es tan grande, cualquier omisión se amplifica.
Este caso es un recordatorio evidente de que incluso una app consolidada puede arrastrar debilidades durante años. Y también de que la confianza de los usuarios depende, cada vez más, de cómo se gestionan los fallos que no se ven.