Un ‘censo global’ de WhatsApp destapa cuánto pueden saber las apps de mensajería sobre sus usuarios sin leer ni un solo mensaje

Compartir en LinkedIn Compartir en Reddit Compartir en Pinterest Compartir en WhatsApp

WhatsApp vuelve a estar en el centro del debate sobre privacidad. Un equipo de investigadores de la Universidad de Viena y SBA Research ha demostrado que, hasta principios de 2025, era posible enumerar prácticamente todo el universo de usuarios de la plataforma —unos 3.5 miles de millones de cuentas activas— aprovechando la forma en que la app descubre qué contactos usan el servicio.

La investigación, titulada “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, no rompe el cifrado de extremo a extremo, pero sí evidencia algo incómodo para cualquier servicio de mensajería: incluso cuando los chats están cifrados, la combinación de metadatos, fotos de perfil, estados y claves públicas ofrece una visión extremadamente detallada del “poblado” digital que vive dentro de la aplicación.

El talón de Aquiles: el descubrimiento de contactos

Como la mayoría de apps de mensajería basadas en número de teléfono, WhatsApp facilita empezar una conversación diciéndole al usuario qué contactos de su agenda usan la plataforma. Para ello, la app pregunta a los servidores si cada número de teléfono está registrado: una función pensada para la comodidad, pero que, en la práctica, abre la puerta a ataques de enumeración masiva de cuentas.

Los investigadores no usaron la app estándar, sino un cliente abierto basado en la versión web de WhatsApp (whatsmeow), que permite hablar directamente con las APIs XMPP internas de la compañía. Desde un único servidor universitario y con solo cinco sesiones autenticadas, fueron capaces de:

  • Consultar si un número “está en WhatsApp” (IsOnWhatsapp / GetDeviceList).
  • Recuperar foto de perfil (URL), texto “about”, tipo de cuenta (personal o de negocio) y dispositivo principal/compañeros (móvil, WhatsApp Web, tablet…).
  • Descargar las claves públicas utilizadas para el cifrado de extremo a extremo (identidad, claves firmadas y de un solo uso).

El ritmo de consultas alcanzó los 7 000 números por segundo en algunos endpoints. A esa velocidad, es técnicamente posible sondear más de 100 millones de teléfonos por hora sin que el sistema aplicara bloqueos o límites efectivos, según el estudio.

Un mapa mundial de WhatsApp: quién usa qué, dónde y cómo

El resultado de ese escaneo controlado es, en la práctica, un censo planetario de WhatsApp: 3 546 479 731 cuentas distintas en 245 países y territorios.

Algunas cifras que ayudan a entender su alcance:

  • India concentra el 21,7 % de todas las cuentas, con más de 749 millones de números registrados.
  • Brasil, Estados Unidos, Rusia, México, Pakistán, Alemania, Turquía y Egipto completan el top 10.
  • A escala global, un 81 % de las cuentas se usan desde dispositivos Android y un 19 % desde iOS.
  • Más del 56 % de usuarios tienen foto de perfil visible y cerca del 29 % mantienen un texto “about” público. Aproximadamente un 9 % de las cuentas aparecen marcadas como de negocio, aunque en muchos países esa cifra incluye usuarios normales que simplemente instalaron la app Business.

Por continentes, la adopción de WhatsApp es abrumadora en algunas regiones:

  • En Sudamérica, el porcentaje de cuentas activas equivale al 95 % de la población.
  • En Europa, ronda el 80 %.
  • En América del Norte, supera el 59 %. En el extremo contrario están países como Japón o Corea del Sur, donde dominan mensajerías locales.

Para un medio especializado en redes sociales y mensajería, el mensaje es claro: WhatsApp no solo es el mayor servicio de mensajería del planeta, sino también uno de los mayores repositorios de metadatos sociales que existen.

Cuando el “about” y la foto de perfil cuentan más de la cuenta

El estudio pone el foco en elementos que muchos usuarios consideran inofensivos: el texto de estado y la foto de perfil. Analizando estos campos a gran escala, los investigadores encontraron:

  • Mensajes que declaran orientación sexual o identidad de género (por ejemplo, referencias a la comunidad LGBTQIA+).
  • Estados con consignas políticas (“Make America Great Again”, entre otros).
  • Citas religiosas, referencias a consumo de drogas (“Hey there! I am using cocaine”) e incluso anuncios de venta de sustancias ilegales a modo de catálogo.
  • Cuentas que enlazan directamente a perfiles en otras plataformas (LinkedIn, Instagram, Tinder, OnlyFans…) o que incluyen correos electrónicos profesionales y gubernamentales (@state.gov, @army.mil, @bund.de, etc.).

Combinando solo esos campos, un atacante podría:

  • Reidentificar a personas concretas.
  • Construir perfiles ideológicos, religiosos o de orientación sexual.
  • Dirigir campañas de phishing o extorsión extremadamente personalizadas.

El trabajo cita además informaciones de prensa según las cuales altos cargos del Gobierno de EE. UU. fueron identificados como usuarios activos de varios mensajeros, incluido WhatsApp, gracias a que mantenían fotos de perfil públicas asociadas a sus números.

Es un ejemplo muy gráfico de hasta qué punto las capas “sociales” de una app de mensajería pueden convertirse en fuente de exposición, incluso cuando los mensajes en sí están cifrados.

Usuarios en países donde WhatsApp está prohibido

Para las plataformas de mensajería, operar en países que bloquean o restringen sus servicios es un reto técnico y político. El estudio también proporciona una radiografía de ese fenómeno.

A pesar de que, a finales de 2024, WhatsApp seguía oficialmente prohibido en China, Irán, Myanmar y Corea del Norte, los investigadores encontraron:

  • 2,3 millones de números chinos activos en WhatsApp.
  • 1,6 millones de cuentas en Myanmar.
  • 59 millones de usuarios en Irán, lo que equivale aproximadamente a dos tercios de su población (90,1 millones).
  • Incluso cinco números activos dentro del rango de Corea del Norte.

En el caso de Irán, además, midieron la evolución del uso antes y después del levantamiento oficial del veto a WhatsApp en diciembre de 2024. En cuestión de semanas, el número de cuentas y el uso de dispositivos “compañeros” (por ejemplo, WhatsApp Web) siguió aumentando, lo que sugiere una normalización rápida del servicio una vez retirada la prohibición.

Para un usuario individual, el riesgo va más allá del cifrado: que su número aparezca como “activo en WhatsApp” puede, por sí solo, ser problemático en contextos donde usar determinados servicios se considera una actividad sospechosa.

Claves reutilizadas y señales de posibles abusos

Más allá de los metadatos sociales, los autores analizaron uno de los elementos más críticos de cualquier mensajero cifrado: las claves públicas utilizadas en el protocolo Signal (X25519 para identidad, claves firmadas y de un solo uso).

Entre sus hallazgos destacan:

  • 2,3 millones de claves públicas distintas reutilizadas en más de 2,9 millones de dispositivos diferentes.
  • Casos extremos en los que una misma clave aparece miles de veces asociada a números de países como Myanmar o Nigeria, algo difícil de explicar si no hay una implementación defectuosa o la creación masiva de cuentas mediante software no oficial.
  • Incluso se detectan casos de claves de identidad “todo ceros”, lo que apunta a generadores de números aleatorios rotos o a clientes no estándar.

En redes sociales y servicios de mensajería, la reutilización de claves de identidad es especialmente preocupante: si la clave privada correspondiente se ve comprometida, un atacante podría incorporar nuevos dispositivos al perfil de la víctima y leer o modificar conversaciones. Y, desde el punto de vista de privacidad, permite enlazar a la misma persona aunque cambie de número de teléfono.

Meta reacciona… pero las preguntas permanecen

Una vez completados sus experimentos, los investigadores siguieron un proceso de divulgación responsable con Meta. En una versión actualizada del trabajo explican que pudieron verificar la corrección del problema de limitación de velocidad (rate limiting) que había permitido sus mediciones a gran escala.

En su lista de recomendaciones, sugieren a WhatsApp y, por extensión, a otros servicios de mensajería:

  • Implementar políticas robustas de rate limiting en las APIs internas.
  • Armonizar las implementaciones de cliente para reducir comportamientos inseguros.
  • Cifrar más capas de información, como fotos de perfil o textos de estado, para reducir lo que puede observarse desde el servidor o por terceros.
  • Monitorizar mejor patrones anómalos de creación de cuentas y reutilización de claves.

A largo plazo, los autores apuntan incluso a soluciones más ambiciosas, como estándares de mensajería federada con cifrado de extremo a extremo que reduzcan los riesgos de centralización y los “silos” de datos.

¿Qué significa todo esto para los usuarios de apps de mensajería?

Para el lector de un medio especializado en redes sociales y mensajería, la conclusión es incómoda pero necesaria:

  • El cifrado de extremo a extremo protege el contenido de los mensajes, pero no evita que la plataforma (o un atacante con acceso a ciertas APIs) pueda explotar metadatos, fotos y estados.
  • El mero hecho de que un número esté dado de alta en un servicio ya es, en sí mismo, un dato sensible, especialmente en contextos políticos o legales complejos.
  • Los campos “sociales” —foto, nombre visible, estado, enlaces a otras redes— convierten a las apps de mensajería en auténticas redes sociales encubiertas.

Al mismo tiempo, el estudio demuestra que la comunidad académica y la presión pública pueden forzar mejoras reales: sin esa investigación, la brecha de enumeración masiva probablemente habría seguido abierta sin discusión pública.

Qué puede hacer el usuario (más allá de cambiarse de app)

Aunque muchas de las decisiones clave dependen de las plataformas, los usuarios sí pueden reducir su exposición:

  • Revisar quién ve la foto de perfil y el “about”: limitarlo a “Mis contactos” o incluso a nadie, en lugar de dejarlo público.
  • Evitar poner en el estado información muy sensible (orientación política, religiosa, sexual, teléfonos secundarios, correos profesionales, enlaces a otras redes…).
  • Pensarse dos veces si realmente se necesita usar la app Business cuando solo se trata de una cuenta personal.
  • Activar la verificación en dos pasos y revisar periódicamente los dispositivos vinculados (Web, escritorio, tabletas).

En un ecosistema donde las fronteras entre red social y mensajería son cada vez más difusas, estudios como este recuerdan que el verdadero valor —y el verdadero riesgo— no está solo en lo que se escribe, sino en todo lo que se comparte alrededor de cada conversación.

Fuente: Whatsapp Census y Open Security

Imagen de Maria José M.R.

Maria José M.R.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Lo último

Interpretación Rápida de Variantes Genómicas con AWS HealthOmics y Amazon Bedrock AgentCore

Un ‘censo global’ de WhatsApp destapa cuánto pueden saber las apps de mensajería sobre sus usuarios sin leer ni un solo mensaje

MSD Emplea IA Generativa de AWS para Optimizar Gestión de Desviaciones

Cómo Care Access Reducía Costos de Datos en un 86% y Aceleró Procesos un 66% con Amazon Bedrock

Guía de Compras para las Festividades 2025: Mejores PC con Windows 11 y Ofertas

Bruselas abre la puerta a suavizar el RGPD y la Ley de IA para “aligerar” la carga de las empresas

×