Investigadores de la Universidad de Viena y del centro de seguridad SBA Research descubrieron una vulnerabilidad en WhatsApp que permitió acceder a información básica de 3.500 millones de cuentas en todo el mundo. El hallazgo se dio a conocer hoy, un mes después de que los investigadores notificaran a Meta, la empresa propietaria de la aplicación.

El fallo, presente en el sistema de descubrimiento de contactos de WhatsApp, posibilitaba realizar consultas masivas para confirmar la existencia de números de teléfono, así como obtener datos públicos asociados, como fotos de perfil, textos de estado y claves públicas de cifrado. Los expertos también lograron inferir metadatos como el sistema operativo del dispositivo y la antigüedad de la cuenta.

Aunque no se accedió a los mensajes privados —que permanecen cifrados de extremo a extremo—, los expertos advirtieron que esta falla podría facilitar ataques de spam, phishing y vigilancia, especialmente en países donde WhatsApp está restringido. Según los investigadores, el uso del número telefónico como identificador principal para la plataforma constituye un riesgo estructural para la privacidad.

Meta confirmó que la vulnerabilidad fue mitigada mediante la implementación de medidas que limitan las consultas masivas y aseguró que no hay evidencia de que terceros hayan explotado el fallo. La compañía destacó que los datos obtenidos por los investigadores eran principalmente públicos y que fueron eliminados tras su análisis.

Quienes descubrieron la vulnerabilidad recibieron recompensas del programa bug bounty de WhatsApp y enfatizaron que su trabajo fue realizado de manera ética, con el fin de proteger a los usuarios de posibles ataques.