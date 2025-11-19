MADRID (Portaltic/EP).- Una vulnerabilidad en WhatsApp ha permitido identificar 3 mil 500 millones de cuentas activas a nivel global en el servicio de mensajerÃ­a como parte de una investigaciÃ³n que ha usado un generador de nÃºmeros y que ha ayudado a corregir el fallo para evitar la exposiciÃ³n de estos datos.

Los nuevos usuarios de WhatsApp pueden descubrir si los contactos que tienen guardados en la agenda del mÃ³vil tienen una cuenta en el servicio de mensajerÃ­a con solo permitir el acceso de la aplicaciÃ³n a este elemento.

Esto es posible porque WhatsApp guarda un registro de sus usuarios vinculado a sus nÃºmeros de telÃ©fono para facilitar este descubrimiento.

Sin embargo, este mecanismo "se puede utilizar indebidamente para comprobar si un individuo especÃ­fico (como un funcionario gubernamental, una expareja o un empleador) estÃ¡ registrado en WhatsApp" con solo saber el nÃºmero de telÃ©fono, como ha advertido un grupo de investigadores de la Universidad de Viena y la Universidad TÃ©cnica de Viena (Austria).

Si bien WhatsApp ha mejorado la privacidad, este mecanismo se puede explotar para crear bases de datos a gran escala con los registros de los nÃºmeros de telÃ©fono, que posteriormente actores maliciosos pueden usar en campaÃ±as de 'spam', 'phishing' o llamadas automatizadas.

Para comprobar esta vulnerabilidad del sistema de mensajerÃ­a, los investigadores han desarrollado un mÃ©todo para "generar rÃ¡pidamente conjuntos de datos candidatos de nÃºmeros de telÃ©fono potencialmente activos para 245 paÃ­ses", como informan en el texto de su trabajo, compartido en GitHub.

En concreto, lo que han hecho es introducir en una API de WhatsApp todos los nÃºmeros de telÃ©fono que pudieron generar de manera automÃ¡tica para comprobar si estaban activos en el servicio, con una tasa de siete mil nÃºmeros por segundo y sesiÃ³n.

Lo hicieron desde la misma direcciÃ³n IP y desde cinco cuentas de usuario, sin que WhatsApp las bloqueara, lo que al final les permitiÃ³ confirmar 3 mil 500 millones de nÃºmeros registrados (cuentas activas). Esta cifra, segÃºn dicen, "supera el 'mÃ¡s de dos mil millones de personas' declarado oficialmente desde WhatsApp".

Adicionalmente, usaron la API XMPP de WhatsApp para extraer mÃ¡s datos sobre cada una de las cuentas: claves pÃºblicas de encriptaciÃ³n, marcas de tiempo, imagen de perfil e informaciÃ³n de empresa.

"La gran cantidad de puntos de datos nos permite no sÃ³lo realizar un censo detallado de la poblaciÃ³n de usuarios de WhatsApp, sino tambiÃ©n dar una idea de las interesantes observaciones macroscÃ³picos a gran escala que el servicio de mensajerÃ­a instantÃ¡nea es capaz de obtener, incluso sin tener acceso al contenido del mensaje", apuntan los investigadores.

Con este enfoque pudieron descubrir, por ejemplo, que Europa representa el 18 por ciento de la base de usuarios de WhatsApp y que el 64 por ciento de ellos usa Android, frente al 36 por ciento que tiene un mÃ³vil iOS. Asia se sitÃºa como el mayor mercado, ya que acapara el 47 por ciento de los usuarios. De ellos, el 88 por ciento usa Android y el 12 por ciento, iOS.

Los investigadores comunicaron su descubrimiento a WhatsApp y trabajaron con la compaÃ±Ã­a para implementar contramedidas, algo que se hizo efectivo a principios de octubre. WhatsApp tambiÃ©n acelerÃ³ algunas de las medidas que tenÃ­a en desarrollo para aplicarlas lo antes posible.