Un estudio de la Universidad de Viena reveló una vulnerabilidad inédita en WhatsApp: mediante un sistema automatizado, un equipo de investigadores logró mapear 3.500 millones de cuentas activas en todo el mundo. El trabajo, publicado por Wired, demostró que la plataforma permitía realizar consultas ilimitadas para verificar si un número tenía cuenta activa y, en muchos casos, acceder a fotos de perfil y textos del estado.
El caso tuvo un impacto directo en la Argentina: 43,8 millones de números locales quedaron expuestos en este proceso. Como consecuencia, abogados especializados en protección de datos presentaron una denuncia contra Meta, propietaria de WhatsApp, ante la Agencia de Acceso a la Información Pública (AAIP).
Cómo funcionó la técnica que expuso millones de perfiles
Los investigadores detectaron que la función de “descubrimiento de contactos” (que indica si un número está en WhatsApp al agregarlo en la agenda) podía ser abusada a gran escala.
Desde la versión web, comprobaron que:
-
No existían límites de consultas.
-
WhatsApp respondía automáticamente si el número tenía una cuenta activa.
-
Si el usuario tenía configuraciones abiertas, se podía ver su foto de perfil y su estado (“Acerca de”).
En un primer test, lograron reunir 30 millones de números de EE.UU. en 30 minutos. Luego escalaron el proceso globalmente y verificaron variantes numéricas de cada país, sin que la app implementara bloqueos.
Así, en pocos días, construyeron una base con:
-
3.500 millones de cuentas activas
-
Fotos de perfil visibles en el 57%
-
Estados visibles en el 29%
Para los especialistas, constituye la exposición más grande de números de teléfono de la historia.
De estafas masivas a persecuciones políticas
El volumen y la naturaleza de los datos expuestos suponen un riesgo enorme.
Un registro de esta magnitud permite a estafadores, spammers y delincuentes digitales construir campañas completamente creíbles.
El impacto es aún mayor en países donde WhatsApp es ilegal. El estudio identificó:
-
2,3 millones de cuentas de China,
-
1,6 millones de Myanmar,
ambos territorios donde se reportó persecución y detenciones por el uso de aplicaciones prohibidas.
La respuesta de WhatsApp: “No fue un hackeo”
Meta negó que se tratara de una filtración interna. Según la empresa, los investigadores realizaron “scraping” basado en números que ya debían conocerse previamente y accedieron solo a información pública según la configuración del usuario.
“Los mensajes privados permanecieron seguros gracias al cifrado de extremo a extremo”, afirmó Nitin Gupta, vicepresidente de Ingeniería de WhatsApp.
Meta dijo estar trabajando desde antes en nuevas defensas contra la recolección automatizada y aseguró que los datos del estudio fueron eliminados de forma segura.
Denuncia en Argentina: reclamo por falta de advertencia a los usuarios
En el país, los abogados Daniel Monastersky y Facundo Malaureille denunciaron el caso ante la AAIP para conocer el alcance local real.
Monastersky fue categórico:
“Esto no es un hackeo sofisticado. Es una empresa que sabía desde 2017 que esta vulnerabilidad existía y durante ocho años no hizo nada. Eso es negligencia deliberada.”
Ambos especialistas remarcaron que millones de argentinos quedaron expuestos sin haber recibido advertencias de Meta, lo que podría violar la Ley de Protección de Datos Personales (25.326).
El pedido a la AAIP solicita que se investigue si terceros aprovecharon esta vulnerabilidad antes de que fuera cerrada.
Qué reveló la investigación sobre los usuarios argentinos
Los datos concretos del estudio para el país muestran:
-
43.854.434 cuentas activas detectadas
-
Representan 1,27% del total mundial
-
Tasa de adopción nacional: 96,5%
-
54,8% con foto de perfil pública
-
32,8% con estado visible
-
5,4% son cuentas de empresa
Argentina quedó ubicada en el puesto 19 del ranking global.
¿Un problema estructural? WhatsApp prueba nombres de usuario
Más allá de la vulnerabilidad, el estudio reabre un debate profundo: WhatsApp se basa en el número telefónico como llave de identidad, algo que no fue diseñado para funcionar como credencial secreta.
La plataforma ya está probando un sistema de nombres de usuario, que permitiría mayor privacidad, aunque aún no está claro cuándo será implementado de forma global.
O.P.