Un repositorio publicado en GitHub bajo el nombre Device Activity Tracker ha vuelto a poner el foco sobre una debilidad incómoda de la mensajería moderna: incluso con cifrado de extremo a extremo, ciertas señales “de fondo” (metadatos y tiempos de respuesta) pueden utilizarse para inferir cuándo un dispositivo está activo, en reposo o desconectado, sin que aparezcan mensajes ni notificaciones visibles.
La herramienta se presenta como prueba de concepto basada en la investigación académica “Careless Whisper”, de un equipo de la Universidad de Viena y SBA Research. En su resumen, el paper explica que es posible “hacer ping” a un usuario sin su conocimiento, abusando de los acuse(s) de entrega y analizando el tiempo de ida y vuelta (RTT) para extraer información sobre su actividad (por ejemplo, si la pantalla está encendida o apagada), además de otros indicadores.
Qué se puede inferir (y qué no)
Según el repositorio, el método se apoya en medir el RTT asociado a los recibos de entrega para clasificar estados como “activo”, “en standby” u “offline”, y sugiere que, a lo largo del tiempo, esos cambios pueden dibujar patrones de rutina.
El propio artículo académico va más allá y advierte de que, a alta frecuencia, la técnica podría permitir extraer información privada y también habilitar ataques de agotamiento de recursos, como consumo de batería o datos, sin generar alertas en el dispositivo objetivo.
Lo importante: esto no “rompe” el cifrado ni permite leer mensajes. Lo que explota es una fuga lateral: el contenido viaja cifrado, pero la infraestructura y el cliente siguen intercambiando señales necesarias para que el servicio funcione (entrega, estados, temporización). Esa diferencia —entre confidencialidad del contenido y exposición de metadatos— es la que vuelve a encender el debate sobre qué significa realmente “privacidad” en mensajería.
“No hay hackeo” no significa “no hay riesgo”
El texto viral que circula en redes insiste en que “no hay hackeo” y “no se envían mensajes”. La formulación es tramposa: no hay malware ni acceso al terminal, pero sí hay interacciones silenciosas a nivel de protocolo que pueden provocar respuestas medibles sin que el usuario lo perciba. Esa es precisamente la tesis del paper: la combinación de “ping” silencioso + recibos de entrega puede convertirse en un vector de vigilancia.
¿Está reconocido por investigadores?
Sí. La Universidad de Viena publicó una nota sobre la investigación y destaca que el trabajo fue reconocido con un Best Paper Award en RAID 2025, subrayando el impacto del hallazgo en WhatsApp y plataformas similares.
Cómo protegerse hoy (sin dramatismos)
No existe un “botón mágico” para desactivar los recibos de entrega en estas apps, y parte del debate gira precisamente en torno a cambios de diseño. Aun así, hay mitigaciones prácticas que pueden elevar el coste del abuso:
- WhatsApp: activar “Bloquear mensajes de cuentas desconocidas”. WhatsApp lo describe como una medida avanzada para bloquear altos volúmenes de mensajes de cuentas desconocidas y mejorar el rendimiento del dispositivo (útil frente a intentos masivos).
- Reducir superficie de exposición: evitar publicar el número en abierto (webs, redes, directorios), y usar canales alternativos para contacto público.
- Separación de números: en entornos profesionales, valorar un número dedicado para atención externa y otro para comunicaciones privadas (cuando sea viable).
- Vigilar señales indirectas: si hay drenaje anómalo de batería o consumo de datos en reposo, revisar actividad y permisos (aunque esta técnica, por diseño, intenta ser “invisible”, el consumo puede delatar abusos intensivos).
La idea clave: “cifrado” no equivale a “invisibilidad”
El cifrado de extremo a extremo protege el contenido frente a intermediarios, pero no elimina por completo los metadatos ni las fugas laterales. “Careless Whisper” pone un ejemplo incómodo: si un sistema devuelve señales automáticas de entrega, esas señales pueden ser analizadas para inferir comportamiento.
Preguntas frecuentes
¿Pueden leer mis mensajes con este método?
No. La investigación y el PoC tratan de inferir patrones de actividad (estado del dispositivo, timing), no de descifrar contenido.
¿Hace falta instalar algo en el móvil de la víctima?
Según el paper, no: el enfoque se basa en interacciones silenciosas y recibos de entrega, sin comprometer el terminal con malware.
¿Desactivar los “recibos de lectura” lo evita?
No necesariamente. La investigación se centra en recibos de entrega y en señales de protocolo; por eso los autores piden cambios de diseño.
¿Qué ajuste concreto puedo activar en WhatsApp hoy?
WhatsApp recomienda “Bloquear mensajes de cuentas desconocidas” en Ajustes → Privacidad → Avanzado para limitar altos volúmenes desde números desconocidos.
