Los investigadores han contado 3.500 millones de cuentas de WhatsApp (y han obligado a Meta a reaccionar)

Por /
Compartir en Pinterest Compartir en WhatsApp

Un grupo de investigadores de la Universidad de Viena ha demostrado que, hasta hace muy poco, era posible enumerar a escala planetaria prácticamente toda la base de usuarios de WhatsApp —unos 3.500 millones de cuentas activas— aprovechando la forma en que la app comprueba qué números de teléfono están registrados en el servicio.

El trabajo, titulado “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, no rompe el cifrado de extremo a extremo de los mensajes, pero sí evidencia que la capa “meta” de datos (quién tiene cuenta, con qué número, qué dispositivo usa o qué foto de perfil muestra) sigue siendo un terreno muy expuesto si no se aplican defensas adecuadas.

Cómo funciona el ataque: explotar el propio diseño de WhatsApp

WhatsApp basa la identificación de usuarios en números de teléfono. Cuando una persona instala la aplicación y da permiso para acceder a su agenda, la app sube los contactos al servidor para comprobar qué números tienen cuenta y mostrarlos como disponibles en la lista de chats.

Ese mismo mecanismo, pensado para la comodidad del usuario, abre la puerta a la enumeración: si el servidor responde “sí” o “no” para cualquier número, un atacante puede automatizar las consultas y construir su propio registro global de cuentas de WhatsApp.

Los autores del estudio:

  • Generaron conjuntos de números de teléfono plausibles para 245 países, reduciendo el espacio mundial a unos 63.000 millones de candidatos mediante librerías como libphonenumber y técnicas de filtrado.
  • Usaron un cliente no oficial, basado en la ingeniería inversa del cliente web de WhatsApp (whatsmeow), para hablar directamente con los endpoints XMPP de WhatsApp en lugar de la app normal. Esto les permite consultar de forma masiva si un número está registrado y recuperar más metadatos que a través de la interfaz de usuario.
  • Ejecutaron el experimento desde un único servidor y una sola IP, con cinco sesiones concurrentes de WhatsApp, alcanzando tasas de hasta 7.000 números por segundo y sesión sin encontrar bloqueos ni límites de uso efectivos.

Resultado: fueron capaces de confirmar 3.500 millones de cuentas activas, superando con creces la cifra pública de “más de 2.000 millones de personas” que la propia compañía declara.

Qué datos se podían extraer de cada cuenta

Para cada número que resultaba estar registrado, el sistema de los investigadores podía recuperar, cuando la configuración de privacidad lo permitía:

  • Estado de registro (si la cuenta existe o no).
  • Lista de dispositivos vinculados (móvil principal y compañeros como WhatsApp Web o apps de escritorio).
  • Claves públicas usadas para el cifrado de extremo a extremo (X25519), con sus identificadores y marcas de tiempo.
  • Foto de perfil (incluida versión en alta resolución) y su timestamp de cambio.
  • Texto “Info” o “About”, que muchas personas personalizan con frases, ideología, referencias religiosas o incluso datos de contacto externos (correo, redes sociales, etc.).
  • Información de cuentas de empresa (nombre comercial).

Visto de forma aislada, cada dato podría parecer banal. Pero a escala de 3.500 millones de registros, los autores señalan que se trata de un “censo” masivo que permitiría a un atacante o a un actor estatal extraer patrones globales: adopción de WhatsApp por país, tipos de dispositivo, antigüedad de terminales, tasas de alta y baja, uso de dispositivos secundarios, etc.

Países donde WhatsApp está prohibido… pero lleno de usuarios

El estudio también pone el foco en países donde WhatsApp ha estado oficialmente vetado, como China, Irán, Myanmar o Corea del Norte. A pesar de las prohibiciones, los investigadores han encontrado:

  • 2,3 millones de números chinos activos en WhatsApp.
  • 1,6 millones de cuentas en Myanmar, aproximadamente el 3 % de su población.
  • 59 millones de cuentas en Irán, equivalentes a alrededor de dos tercios de su población, con un fuerte aumento tras el levantamiento oficial del veto a finales de 2024.

En el caso iraní, observaron además que la proporción de usuarios con dispositivos “compañeros” (por ejemplo, WhatsApp Web) se triplicó en los meses posteriores al fin de la prohibición, lo que indica un cambio en los patrones de uso y quizá una menor necesidad de esconder la actividad en ordenadores públicos o de trabajo.

Claves criptográficas reutilizadas y señales de fraude

Uno de los hallazgos más delicados del trabajo está en el análisis de las claves públicas X25519 que WhatsApp usa en su implementación del protocolo Signal. En teoría, cada dispositivo debe tener:

  • Una clave de identidad de larga duración.
  • Una clave “signed prekey” de duración media.
  • Un conjunto de one-time prekeys, pensadas para usarse una sola vez y reponerse periódicamente.

Sin embargo, al procesar el gigantesco conjunto de datos, los investigadores detectaron 2,3 millones de claves públicas distintas reutilizadas en más de 2,9 millones de dispositivos diferentes, con algunos casos donde la misma clave se repite miles de veces.

Esa reutilización masiva:

  • Se concentra de forma notable en algunos países (por ejemplo, Myanmar y Nigeria).
  • Afecta sobre todo a claves de identidad, que no deberían cambiar de dispositivo.
  • Es difícil de explicar con un uso legítimo (por ejemplo, cambiar de número en el mismo móvil) cuando se observan las repeticiones extremas.

Los autores plantean dos hipótesis principales: implementaciones “custom” defectuosas de clientes de WhatsApp en ciertas regiones, o actividad fraudulenta ligada a la creación masiva de cuentas para estafas (romance scams, fraudes con criptomonedas, etc.), algo ya documentado en esos países.

Más allá del origen, la consecuencia de reutilizar claves es grave: si un atacante logra comprometer la clave privada correspondiente, puede suplantar la identidad de la cuenta, añadir dispositivos nuevos y potencialmente interceptar comunicaciones cifradas.

Comparación con la filtración de Facebook de 2021

El estudio también cruza su “censo” de WhatsApp con la conocida filtración de 500 millones de números de teléfono de Facebook de 2021.

Según los autores, casi la mitad de esos números siguen activos en WhatsApp seis años después, lo que evidencia la enorme persistencia de este tipo de fugas: una vez que una base de datos de teléfonos circula en foros o mercados oscuros, puede seguir siendo útil durante años para spam, phishing, robocalls o campañas de acoso dirigidas.

De la indiferencia inicial a la colaboración en el arreglo

La relación con Meta/WhatsApp no fue sencilla. Los investigadores empezaron a reportar problemas de rate limiting en septiembre de 2024, sin recibir una respuesta efectiva durante meses. Incluso cuando avisaron de que la enumeración a gran escala era posible y estaban midiendo el alcance real, sus informes fueron marcados como “duplicados” o “no aplicables”.

La situación cambió a mediados de 2025, cuando el trabajo fue aceptado en el NDSS Symposium 2026, una de las conferencias clave en seguridad, y los autores anunciaron su intención de publicar un preprint. A partir de ahí, WhatsApp accedió a retrasar la publicación y abrió una vía de colaboración para diseñar y validar contramedidas.

En un addendum actualizado a noviembre de 2025, los investigadores detallan las medidas que WhatsApp afirma haber desplegado y que ellos mismos ayudaron a verificar:

  • Nuevos límites de cardinalidad y rate limiting:
    • Se han introducido contadores de cardinalidad basados en estructuras de datos probabilísticas para limitar cuántas cuentas únicas puede consultar un usuario a lo largo de la vida de su cuenta.
    • Estos datos alimentan modelos de machine learning que distinguen entre uso normal y scraping masivo, permitiendo aplicar límites más duros a quienes se comportan como atacantes sin penalizar a usuarios legítimos.
  • Restricciones de visibilidad de datos públicos:
    • Se limita el número de fotos de perfil y textos “Info” que se pueden consultar en un periodo de tiempo, incluso cuando el usuario los ha configurado como visibles para “Todos”.
    • Deja de exponerse el timestamp exacto de cambio de la foto de perfil.
  • Corrección del problema de reutilización de claves en Android:
    • Se identifica un caso límite en el que, al cerrar sesión y cambiar de número, algunos clientes Android no generaban claves nuevas.
    • El fallo se corrige en la versión 2.25.26.11 y posteriores de WhatsApp.

En una declaración oficial, WhatsApp agradece el trabajo de los investigadores, subraya que los mensajes siguen protegidos por el cifrado extremo a extremo y asegura haber reforzado sus sistemas anti-scraping y sus procesos internos de gestión de reportes de seguridad.

¿Qué pueden hacer los usuarios?

El propio estudio reconoce que, para el usuario medio, las defensas posibles son limitadas:

  • Ajustar la configuración de privacidad para que la foto de perfil y el texto de estado no sean públicos para “Todos”.
  • Desactivar la cuenta de WhatsApp y pasarse a mensajerías interoperables que implementen diseños más robustos a nivel de metadatos, cuando estén disponibles de forma realista.

La lección de fondo es clara: incluso cuando el contenido de los mensajes está cifrado, la arquitectura del servicio y sus decisiones de diseño pueden exponer a la ciudadanía a riesgos de vigilancia, scraping y abuso a gran escala si no se acompañan de límites técnicos y políticas de privacidad adecuadas.

Preguntas frecuentes (FAQ)

¿En qué consiste exactamente la “enumeración” de cuentas de WhatsApp?
La enumeración es el proceso de probar números de teléfono uno a uno para ver cuáles tienen cuenta activa en WhatsApp. Si el servidor responde “sí/no” sin límites efectivos, un atacante puede automatizar esas consultas y construir una base de datos masiva de usuarios, solo a partir de los rangos de numeración de cada país.

¿Han quedado expuestos los mensajes privados de WhatsApp con esta investigación?
No. El estudio no rompe el cifrado de extremo a extremo de los mensajes. El riesgo se concentra en los metadatos: saber qué números usan WhatsApp, qué foto de perfil muestran, qué texto “Info” tienen o qué claves públicas usan. Es información muy valiosa para spam, phishing, doxxing o vigilancia, pero el contenido de las conversaciones no ha sido descifrado.

¿Sigue siendo posible hoy enumerar cuentas de WhatsApp a gran escala?
Según los autores, tras su colaboración con WhatsApp en otoño de 2025, se han desplegado nuevos mecanismos de limitación de consultas, estimación de cardinalidad y detección de scraping. Su propia verificación indica que, a fecha de octubre de 2025, las técnicas descritas ya no funcionan a la misma escala. Aun así, recuerdan que el problema de fondo —cómo hacer descubrimiento de contactos sin abrir la puerta a abusos— sigue siendo un reto para toda la industria.

¿Qué implicaciones tiene este trabajo para otras aplicaciones de mensajería?
Los autores señalan que WhatsApp no es el único servicio potencialmente afectado: cualquier plataforma que use números de teléfono y permita comprobar si están registrados puede sufrir ataques de enumeración. Proponen investigar otras apps con cifrado de extremo a extremo y adoptar soluciones como protocolos de Private Set Intersection o el cifrado de perfiles (como hace Signal), siempre combinadas con límites de uso y monitorización para frenar el scraping masivo.

Fuente: Whatsapp Census

Compartir en Pinterest Compartir en WhatsApp

Entradas relacionadas

Scroll al inicio