La red de mensajería WhatsApp acaba de descubrir que su talón de Aquiles no eran los chats, sino la agenda. Un grupo de investigadores de la Universidad de Viena y el centro SBA Research ha demostrado que, durante meses, era posible automatizar la función de “buscar contactos” de WhatsApp Web hasta el extremo de convertirla en una especie de listín telefónico planetario: 3.500 millones de números verificados, con fotos de perfil, textos de estado e incluso claves públicas de cifrado asociadas.
El truco no tenía nada de sofisticado. WhatsApp permite que la app compruebe si los teléfonos de tu agenda están en el servicio y te muestra el perfil básico de cada uno. Los investigadores simplemente llevaron ese gesto cotidiano a escala industrial: generaron decenas de miles de millones de números “verosímiles” y los hicieron pasar por la búsqueda de contactos de la versión web, confirmando más de 100 millones de teléfonos por hora sin toparse con límites efectivos de peticiones. El resultado fue un mapa masivo de cuentas repartidas en 245 países, incluidos millones de usuarios en lugares donde la app está prohibida, como China o Myanmar.
Una agenda convertida en base de datos masiva
Meta asegura que fue alertada en abril y que en octubre de 2025 introdujo mecanismos de limitación para bloquear este tipo de enumeración masiva. También insiste en que no hay pruebas de que ciberdelincuentes hayan explotado el fallo y recuerda que el contenido de los chats ha estado siempre protegido por cifrado de extremo a extremo. Pero ese matiz no elimina el problema de fondo: que alguien pueda construir, en silencio, una base de datos con miles de millones de números y sus perfiles asociados cambia por completo el terreno de juego para el spam, el phishing y la vigilancia selectiva.
Lo que está en juego no son solo llamadas o mensajes incómodos. Con un directorio de 3.500 millones de cuentas y sus fotos, estados y zona horaria, es mucho más fácil cruzar datos con otras filtraciones, perfilar a usuarios por país, idioma o incluso preferencias personales y lanzar campañas de estafa extremadamente dirigidas. Los propios investigadores advierten de que, si un actor malicioso hubiera explotado esta puerta, estaríamos hablando de una fuga potencialmente mayor que el scraping de 500 millones de perfiles de Facebook de 2021.
Del spam al espionaje selectivo
¿Qué puedes hacer tú si tu número está en ese “listín” aunque nadie te haya avisado? Lo primero, revisar la sección de privacidad de WhatsApp y cambiar a “Mis contactos” o “Nadie” en foto de perfil, info y estado si aún los tienes visibles para “Todos”. Lo segundo, asumir que tu número ya no es un dato “semiprivado” y extremar la prudencia: desconfiar de mensajes que se hagan pasar por tu banco, Correos o tu operador, activar la verificación en dos pasos y evitar compartir códigos o enlaces que lleguen por WhatsApp, por legítimos que parezcan.
