Investigadores de la Universidad de Viena descubrieron que una vulnerabilidad de seguridad, conocida por Meta desde 2017, permitió extraer los números de teléfono de 3.500 millones de usuarios de WhatsApp a nivel mundial. La falla residía en la ausencia de una limitación de frecuencia ( rate-limiting ) en la función de «descubrimiento de contactos», lo que facilitaba a los atacantes el scraping masivo de números. Afortunadamente, Meta implementó protecciones más estrictas en octubre de 2025 para corregir este fallo (Fuente y Datos).
Un equipo de investigadores de seguridad de la Universidad de Viena en Austria ha revelado una vulnerabilidad crítica y simple en WhatsApp que, al ser explotada, permitió la exposición potencial de los números de teléfono de miles de millones de usuarios.
El Fallo de Diseño y el Scraping
La vulnerabilidad se encontró en la función básica de WhatsApp que permite a los usuarios buscar un número de teléfono para verificar si está registrado en la plataforma. Los investigadores descubrieron que WhatsApp carecía de protección de limitación de frecuencia ( rate- limiting ), una medida de seguridad que evita el abuso de dicha función.
- Explotación Masiva: Al explotar esta falla, los investigadores pudieron probar secuencias de números de teléfono de forma masiva. En solo media hora, lograron extraer 30 millones de números de WhatsApp registrados en Estados Unidos. Al finalizar su investigación, habían recolectado los números de teléfono de 3.500 millones de usuarios a nivel mundial.
- Exposición de Perfiles: La falta de limitación no solo expuso los números, sino también la información de perfil. Los investigadores pudieron recolectar las fotos de perfil del 57% de esos usuarios y ver el texto de perfil del 29%, ya que la configuración de privacidad de estos usuarios permitía la visualización pública.
Falta de Acción Previa de Meta
Lo más preocupante es que Meta, la empresa matriz de WhatsApp, tenía conocimiento de una falla similar desde 2017, reportada por otro grupo de investigadores. En ese momento, Meta no tomó medidas suficientes. Los investigadores austríacos informaron sus hallazgos a Meta en abril del año actual, advirtiendo sobre el grave riesgo de que actores maliciosos pudieran usar el truco para robar datos a gran escala.
Afortunadamente, en octubre de 2025 , Meta finalmente impuso una medida de limitación de frecuencia más estricta, lo que detiene la posibilidad de realizar descubrimientos de contactos a escala masiva. Los investigadores han confirmado que han eliminado de forma segura su base de datos recolectados.
El incidente subraya la necesidad de que las aplicaciones con cifrado de extremo a extremo (como WhatsApp, que promueve su seguridad) también implementen protecciones básicas a nivel de plataforma, un área donde competidores como Signal ya estaban avanzados.
infosertecla.com 