- WhatsApp tiene 3.500 millones de cuentas activas expuestas a riesgos de extracción de metadatos en todo el mundo
- Una falla en el descubrimiento de contactos permitió la enumeración de números de teléfono a escala global
- Se reutilizaron millones de claves de cifrado en todas las cuentas, lo que socava los supuestos de seguridad.
WhatsApp Es posible que los usuarios deban tomar medidas adicionales para proteger la información de su cuenta luego de un descubrimiento potencialmente preocupante.
UNO estudiar Investigadores de la Universidad de Viena revelaron que el sistema de descubrimiento de contactos de la aplicación permitió la recopilación de una gran cantidad de datos de usuarios de WhatsApp en una escala sin precedentes debido a una limitación de velocidad insuficiente en los puntos finales globales.
Los investigadores pudieron recopilar grandes cantidades de números de teléfono, fotos de perfiles públicos, textos de estado de cuentas, etiquetas comerciales e información vinculada a claves de cifrado de extremo a extremo.
Cómo se recopilaron los datos a escala
El conjunto de datos incluía usuarios de países donde WhatsApp está prohibido, incluidos China, Irán, Myanmar y Corea del Norte, lo que permite identificar personas en regiones con estricta vigilancia estatal y acceso limitado a herramientas cifradas.
El equipo de investigación generó más de 60 mil millones de posibles números móviles en más de doscientos países utilizando herramientas automatizadas de generación de números.
Luego verificaron cada número en los servidores de WhatsApp mediante protocolos de ingeniería inversa.
El método se basaba en clientes modificados de código abierto que consultaban la infraestructura de WhatsApp directamente en lugar de hacerlo a través de aplicaciones oficiales.
El proceso validó miles de números por segundo sin ser bloqueado, repitiendo problemas de enumeración previamente documentados en 2012 y 2021.
Los datos recopilados incluyeron marcas de tiempo, información del dispositivo, claves de cifrado públicas y metadatos que nos permitieron mapear patrones de uso en regiones globales.
Ha habido millones de casos en los que se reutilizaron claves de cifrado en diferentes cuentas, a pesar de las expectativas de que cada clave debería ser única.
Algunas claves consistían enteramente en ceros, lo que sugería implementaciones defectuosas por parte de clientes de terceros en lugar de la aplicación principal.
En un comunicado enviado a CiberinsiderNitin Gupta, vicepresidente de ingeniería de WhatsApp, dijo
“Agradecemos a los investigadores de la Universidad de Viena por su asociación responsable y diligencia en nuestro programa Bug Bounty. Esta colaboración identificó con éxito una nueva técnica de enumeración que superó nuestros límites previstos, lo que permitió a los investigadores extraer información de referencia disponible públicamente. Ya estábamos trabajando en sistemas anti-scraping líderes en la industria, y este estudio fue fundamental para realizar pruebas de estrés y confirmar la efectividad inmediata de estas nuevas defensas. Es importante destacar que los investigadores eliminaron de forma segura los datos recopilados como parte del estudio y no encontramos evidencia de ataques de actores maliciosos. abusando de este vector Como recordatorio, los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado de extremo a extremo predeterminado de WhatsApp, y los investigadores no tuvieron acceso a ningún dato no público”.
Meta argumentó que los mensajes permanecían protegidos, pero los investigadores sostuvieron que la reutilización de claves públicas debilita el modelo de confianza detrás del cifrado de extremo a extremo.
La compañía aplicó límites de tasas más estrictos en octubre de 2025 luego de la divulgación y luego abordó una pregunta por separado sobre Basura dispositivos que permitían la recuperación de medios no autorizados.
WhatsApp alcanzó alrededor de 3.500 millones de cuentas activas a principios de 2025, lo que la sitúa entre las plataformas de comunicación más utilizadas de la historia.
Cómo mantenerse seguro
- Limite lo que aparece en los campos del perfil público y evite publicar enlaces en los mensajes de estado.
- Utilice contraseñas seguras y habilite la autenticación de dos factores para una mejor protección de la cuenta.
- Mantenga actualizado su software antivirus para detectar amenazas antes de que afecten su cuenta.
- Utilice servicios de protección contra el robo de identidad para monitorear actividades sospechosas o uso indebido de datos.
- Bloquee contactos desconocidos y revise periódicamente la actividad de la cuenta para detectar comportamientos inusuales.
- Habilite un firewall para evitar el acceso malicioso a la red y conexiones sospechosas.
- Evite los clientes de WhatsApp no oficiales y actualice la aplicación oficial lo antes posible.
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
