WhatsApp y Signal, dos de las aplicaciones de mensajería más usadas del mundo, vuelven a quedar bajo el foco por una cuestión incómoda: aunque el contenido de los mensajes vaya cifrado de extremo a extremo, ciertos metadatos pueden convertirse en una ventana suficiente para observar patrones de vida digital. La alerta no llega en forma de filtración masiva de chats, sino de algo más sutil: los tiempos de respuesta que generan algunas confirmaciones internas del servicio.
El detonante ha sido la publicación de un proof of concept (PoC) en GitHub que demuestra, con fines de investigación, cómo medir el round-trip time (RTT) de determinadas confirmaciones para inferir si un dispositivo está en uso activo, en reposo o desconectado, e incluso detectar cambios de red (por ejemplo, alternar entre Wi-Fi y datos móviles). El planteamiento se apoya en el trabajo académico “Careless Whisper”, presentado por investigadores vinculados a la Universidad de Viena y SBA Research, que ya advertía de que los recibos de entrega —por diseño— pueden ser difíciles de desactivar y, por tanto, explotables como canal lateral.
Un “ping” que no se ve, pero deja huella
El problema no es que WhatsApp o Signal “lean” los mensajes; la cuestión es que ciertas interacciones de bajo perfil pueden provocar confirmaciones técnicas cuyo tiempo de ida y vuelta varía en función del estado del terminal y del contexto de red. En el PoC descrito, el sistema envía “sondeos” diseñados para disparar un acuse de recibo del cliente sin que el usuario perciba una notificación evidente. A partir de ahí, la herramienta compara el RTT con una referencia estadística (mediana) y clasifica el estado del dispositivo: valores más bajos sugieren actividad; más altos, modo reposo o pantalla apagada; y la ausencia de respuesta, desconexión.
En términos prácticos, lo relevante para familias, centros educativos y cualquier usuario es el impacto: si un atacante puede repetir esa medición con frecuencia, puede construir un historial capaz de aproximar rutinas (horarios de actividad, periodos de descanso, franjas de desplazamiento). Es decir, no se trata de “espiar mensajes”, sino de algo que en muchos contextos puede ser igual de delicado: inferir hábitos.
Por qué esto preocupa también a la educación digital
El debate conecta de lleno con la educación digital: adolescentes y jóvenes usan la mensajería como capa básica de socialización, coordinación escolar y pertenencia a grupos. Y, sin embargo, el aprendizaje habitual sobre privacidad sigue centrado en el contenido (“no compartas datos personales”, “cuidado con las fotos”), dejando en segundo plano que el simple funcionamiento de una plataforma puede filtrar señales.
Este tipo de vectores, además, eleva el riesgo en escenarios de acoso o control coercitivo: no hace falta “hackear” una cuenta si basta con conocer el número y explotar comportamientos del protocolo para obtener un patrón de actividad. Por eso, los investigadores y varios análisis posteriores insisten en que hablamos de una intrusión potencialmente seria y que requiere cambios de diseño o mitigaciones más robustas por parte de las plataformas.
Medidas de mitigación: limitadas, pero no inexistentes
A día de hoy, las opciones del usuario final no son una solución total, pero sí pueden reducir superficie de exposición. En WhatsApp existe un ajuste orientado a frenar el abuso desde cuentas desconocidas: bloquear mensajes de cuentas desconocidas cuando superen cierto volumen. El problema es que la propia plataforma no concreta públicamente el umbral exacto, y por tanto no puede considerarse una barrera definitiva. Aun así, es una de las pocas palancas defensivas claras para el usuario medio.
Conviene subrayar otro matiz importante: desactivar las confirmaciones de lectura (los “ticks azules”) puede ayudar en conversaciones normales, pero no garantiza protección frente a este tipo de ataques basados en confirmaciones técnicas de entrega. Dicho de otro modo: no es el mismo fenómeno que el clásico “visto”.
Signal, por su parte, no ofrece —según la información publicada alrededor de esta investigación— un ajuste equivalente que neutralice el vector de forma clara, lo que deja el foco en la necesidad de que ambos servicios introduzcan cambios de protocolo o de comportamiento para que estas “respuestas silenciosas” no sean utilizables como señal.
La presión se traslada a las plataformas
La publicación del PoC reabre una discusión recurrente: el cifrado protege el contenido, pero no es sinónimo automático de anonimato de metadatos. Y, en el ecosistema actual, donde la mensajería es infraestructura social, el listón de “lo aceptable” se mueve. WhatsApp, de hecho, ha ido incorporando capas adicionales de privacidad en 2025 —como “Advanced Chat Privacy”—, pero esta función está pensada para limitar exportación de chats, autodescarga de medios y ciertos usos de IA en conversaciones, no para resolver canales laterales basados en temporización.
En paralelo, el historial de investigaciones académicas sobre mensajería cifrada demuestra que el escrutinio externo sigue siendo necesario: cuando un sistema escala a miles de millones de usuarios, cualquier detalle de diseño se convierte en un problema sistémico.
Preguntas frecuentes
¿Cómo puedo reducir el riesgo de rastreo “silencioso” en WhatsApp si no soy experto?
Activando el bloqueo de mensajes de cuentas desconocidas (y revisando ajustes de privacidad), además de limitar quién puede añadirse a grupos y mantener la app actualizada.
¿Sirve de algo desactivar el “visto” (confirmaciones de lectura)?
Puede mejorar privacidad en el uso cotidiano, pero no es una protección completa frente a ataques que aprovechan confirmaciones técnicas de entrega.
¿Afecta esto a adolescentes y familias de forma especial?
Sí, porque la mensajería es su canal social principal: un patrón de actividad puede convertirse en una señal útil para acoso, presión social o control.
¿Qué deberían exigir colegios y familias en clave de educación digital?
Formación práctica sobre privacidad (metadatos incluidos), hábitos de configuración, y criterios para elegir servicios que expliquen de forma transparente qué señales generan y cómo se mitigan.
