WhatsApp y Signal, bajo presión por un “rastro invisible”: una investigación muestra cómo inferir la actividad de un móvil a partir de simples confirmaciones

Compartir en LinkedIn Compartir en Reddit Compartir en Pinterest Compartir en WhatsApp

WhatsApp y Signal presumen —con razón— de cifrado de extremo a extremo. Ese blindaje impide que terceros lean el contenido de los mensajes durante el trayecto. Sin embargo, una nueva investigación y una prueba de concepto publicada en GitHub han vuelto a poner sobre la mesa una idea menos cómoda: la privacidad no se rompe solo por lo que se dice, sino también por lo que el sistema “deja entrever” sin querer.

El aviso llega desde el entorno académico y de seguridad tras la publicación del trabajo Careless Whisper, desarrollado por investigadores vinculados a la Universidad de Viena y SBA Research, y acompañado posteriormente por un software de demostración que ilustra el problema. La tesis es tan sencilla como inquietante para el público general: midendo el tiempo que tardan ciertas confirmaciones técnicas en regresar, un atacante podría inferir si un móvil está siendo usado activamente, si está en reposo o si permanece desconectado. Con repetición y constancia, esa información puede convertirse en un perfil de hábitos.

No se trata de “leer chats”. El contenido sigue cifrado. El riesgo está en un canal lateral: la temporización. Y en un mundo donde la mensajería es el “pasillo central” de la vida digital —familia, trabajo, colegio, grupos vecinales—, saber cuándo un teléfono está activo puede ser un dato sensible por sí mismo.

Lo que se filtra no es el mensaje: es el ritmo

El punto de partida del estudio es que las apps de mensajería usan distintos mecanismos de confirmación para funcionar con fiabilidad. Algunas respuestas son visibles (como el famoso “visto”), pero otras forman parte de la “fontanería” interna: sirven para confirmar entregas, sincronizar dispositivos o mantener coherencia entre móvil y cliente web.

Según los investigadores, esas confirmaciones pueden dispararse con determinadas interacciones y, lo más importante, su tiempo de retorno cambia dependiendo del estado del dispositivo. Si el teléfono está despierto y en uso, la respuesta puede llegar más rápido. Si está bloqueado o en reposo, puede tardar más. Si está sin conexión, directamente no llega.

El paper llega a hablar de inferencias adicionales en escenarios avanzados (como el número de dispositivos activos o señales sobre el entorno de red), pero para un medio generalista lo esencial es esta idea: un atacante podría convertir “milisegundos” en una pista sobre la rutina.

Un PoC en GitHub y una preocupación social: acoso, control y vigilancia “de baja fricción”

La publicación de una prueba de concepto (PoC) hace que el debate deje de ser académico. Este tipo de herramientas suelen presentarse con avisos explícitos de uso educativo y de investigación, pero su existencia demuestra que la técnica es reproducible y, potencialmente, automatizable.

Aquí aparece el ángulo más humano: el impacto no es igual para todos. Para una persona adulta, puede ser una incomodidad; para alguien en situación de acoso, control coercitivo o persecución digital, un patrón de actividad puede ser munición. En el ámbito educativo, también hay implicaciones: adolescentes y menores viven parte de su identidad y relaciones en mensajería, y cualquier tecnología que permita “tomar el pulso” a su actividad sin consentimiento abre un escenario problemático.

En su cobertura, el medio alemán heise subraya que, a diciembre de 2025, el vector seguiría siendo explotable y reclama que las plataformas introduzcan cambios que impidan este tipo de seguimiento basado en temporización.

¿Se puede “apagar” este riesgo desde el móvil?

La respuesta honesta es: no del todo, al menos con lo que hoy ofrecen las apps. Precisamente porque el fenómeno se apoya en confirmaciones técnicas que no siempre dependen de los ajustes habituales.

Eso no significa que el usuario esté indefenso. Hay mitigaciones parciales que pueden reducir la superficie de ataque, especialmente si el atacante necesita insistir desde números desconocidos:

  • WhatsApp incluye una opción para bloquear mensajes de cuentas desconocidas cuando superan cierto volumen. Es una medida pensada para frenar abusos (spam, ataques de alta frecuencia) y, en este contexto, puede dificultar intentos repetidos desde cuentas no guardadas. WhatsApp, eso sí, no detalla públicamente el umbral exacto que dispara el bloqueo, por lo que no debe interpretarse como protección completa.
  • Desactivar confirmaciones de lectura (los “ticks azules”) puede ayudar a nivel de privacidad cotidiana, pero los investigadores advierten de que no neutraliza necesariamente este canal lateral, ya que el mecanismo observado no depende solo del “visto” tradicional.
  • Mantener una higiene básica sigue teniendo sentido: limitar quién puede contactar, revisar la privacidad, desconfiar de números desconocidos y actualizar la app.

El mensaje clave para el público general es que esto no es un “truco de configuración”, sino un problema de diseño que, si se confirma y se mantiene, exige una corrección por parte de las plataformas: cambiar cómo y cuándo se generan ciertas confirmaciones, o introducir amortiguación/ruido temporal para que los tiempos de respuesta no sean una señal fiable.

La paradoja del cifrado: el contenido protegido, los metadatos expuestos

El caso vuelve a poner en primer plano una paradoja conocida en ciberseguridad: el cifrado protege el contenido, pero no elimina automáticamente los metadatos ni los comportamientos que se derivan del funcionamiento del sistema.

En 2025, además, la discusión ya no va solo de “si leen mis mensajes”, sino de “si pueden deducir mis rutinas”. Y esa privacidad conductual —cuándo estás disponible, cuándo duermes, cuándo cambias de entorno— puede ser tan valiosa para un atacante como el propio contenido, especialmente en contextos de vigilancia o acoso.

En paralelo, WhatsApp ha ido lanzando capas adicionales de privacidad (como “Advanced Chat Privacy”, orientada a limitar exportaciones de chats o autoguardado de medios), pero este tipo de funciones no atacan de raíz un canal lateral basado en temporización. Dicho de otro modo: puede haber más candados en la puerta, mientras una ventana siga sin persiana.

Preguntas frecuentes

¿Pueden saber si estoy usando el móvil aunque mis chats estén cifrados?
Según la investigación, ciertos tiempos de confirmación podrían servir para inferir estados de actividad (activo, reposo, desconectado) sin acceder al contenido del mensaje.

¿Qué ajuste de WhatsApp ayuda más frente a ataques desde números desconocidos?
Activar el bloqueo de mensajes de cuentas desconocidas a alto volumen en los ajustes avanzados de privacidad puede reducir intentos repetidos, aunque no garantiza protección total.

¿Desactivar el “visto” evita este tipo de seguimiento?
Mejora privacidad en el uso cotidiano, pero los autores indican que no basta para neutralizar un canal lateral basado en confirmaciones técnicas.

¿Por qué esto importa en familias y educación?
Porque permite inferir hábitos (horarios de actividad) que pueden ser sensibles, especialmente en casos de acoso, control digital o exposición de menores.

Fuente: Noticias sobre seguridad

Imagen de D C. Fernández

D C. Fernández

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Lo último

WhatsApp y Signal, bajo presión por un “rastro invisible”: una investigación muestra cómo inferir la actividad de un móvil a partir de simples confirmaciones

Integración de MLflow en Amazon SageMaker Para Seguimiento de Experimentos de Aprendizaje Automático con Snowflake

Mediktor: Innovación al servicio de la sanidad pública catalana

Rastreando y gestionando activos en el desarrollo de IA con Amazon SageMaker

Lecciones en Primera Línea: Cómo Construir Agentes de IA Empresariales con TrueFoundry

Meta reúne a expertas en educación digital y lanza 10 claves para que las familias acompañen a los adolescentes en su vida online

×