Falla de Diseño en WhatsApp Permitió la Exposición de 3,500 Millones de Números Telefónicos

Una investigación académica ha revelado una vulnerabilidad de diseño en WhatsApp que permitió la extracción de 3,500 millones de números de teléfono de usuarios a nivel mundial. La falla, que Meta conocía desde 2017, explotaba la función de verificación de contactos de la aplicación para recopilar datos a gran escala. El problema residía en una de las características más convenientes de la plataforma: la capacidad de saber si un número de teléfono está registrado en WhatsApp simplemente agregándolo a la agenda de contactos.

Investigadores demostraron que este mecanismo podía ser automatizado para consultar números en secuencia a una velocidad masiva y sin restricciones significativas.

Al realizar este proceso miles de millones de veces, lograron construir una base de datos que, según afirman, contenía los números de teléfono de prácticamente todos los usuarios de la plataforma en el planeta. En algunos casos, la información recopilada incluía también la foto de perfil y el texto de estado del usuario.

Lo más alarmante del hallazgo es que esta vulnerabilidad no era nueva.

Otro investigador ya había notificado a Meta sobre este mismo problema en 2017, pero la falla permaneció sin una solución efectiva durante casi una década.

"Hasta donde sabemos, esta es la exposición más extensa de números de teléfono y datos de usuarios relacionada con un servicio de mensajería jamás documentada", afirmó Aljosha Judmayer, uno de los autores del estudio. Tras ser notificada por el nuevo equipo de investigadores, Meta tardó aproximadamente seis meses en implementar un mecanismo de limitación de velocidad (rate-limiting) para impedir que el ataque pudiera repetirse a gran escala. La compañía aseguró no haber encontrado evidencia de que actores maliciosos hubieran explotado esta vulnerabilidad antes de su corrección.

En resumen

Una vulnerabilidad de larga data en WhatsApp, conocida por Meta desde 2017, permitió la recolección masiva de 3,500 millones de números de teléfono. Aunque la falla ya fue corregida, el incidente pone de manifiesto serias dudas sobre la rapidez de respuesta de la compañía ante reportes de seguridad y la protección de la privacidad de sus usuarios.

Artículos

¿Te pareció útil y relevante esta información?

El registro de líneas celulares en México comenzó con caos y un problema de fondo: nadie sabe si podrá cumplirse

El registro obligatorio de líneas celulares en México comenzó el 9 de enero de 2026 y, desde su primer día, dejó claro que el reto es monumental. Como anteriormente reportamos en Xataka México, ninguna de las principales operadoras logró completar el proceso de registro de forma estable durante las primeras horas. Las plataformas presentaron caídas, intermitencias y errores generalizados, justo en el arranque de un trámite que será obligatorio para absolutamente todos los usuarios de telefonía móvil del país. La medida, impulsada por la Comisión Reguladora de Telecomunicaciones (CRT), establece que todas las líneas deben estar asociadas a una persona física o moral mediante identificación oficial y CURP, o RFC en el caso de empresas. El objetivo oficial es eliminar el anonimato y combatir delitos, pero la implementación temprana evidenció que el sistema no estaba listo para la magnitud del desafío. Telcel, el sábado negro y la herida a la confianza de los usuarios El sábado posterior al arranque, Telcel (el operador con mayor número de clientes en México) se colocó en el centro de la polémica. Como también reportamos antes, se denunció una presunta vulnerabilidad crítica en su plataforma de registro que habría expuesto datos personales de usuarios sin la debida verificación. Reportes de especialistas y periodistas señalaron que bastaba ingresar un número activo para obtener información sensible como nombre completo, CURP, RFC y correo electrónico. Aunque Telcel negó una filtración y aseguró que se trató de un error técnico ya corregido, el daño estaba hecho. La narrativa de “tus datos están seguros” no logró disipar las dudas, sobre todo porque el incidente ocurrió apenas horas después de iniciado un registro que exige, precisamente, entregar información personal. Para muchos usuarios, el mensaje fue claro: el sistema no solo falla, también podría poner en riesgo sus datos. Registrar casi un millón de líneas al día: el tamaño real del problema Más allá del caos inicial, las cifras explican por qué el panorama luce tan poco alentador. De acuerdo a Epicentro MX, la industria móvil deberá validar cerca de 160 millones de líneas en un plazo máximo de 172 días. Esto implica registrar, en promedio, unas 930,000 líneas celulares cada día para cumplir con el calendario que concluye el 30 de junio de 2026. Incluso usando una cifra más conservadora, como la compartida por el IFT, el desafío sigue siendo grande, considerando 142.3 millones de líneas activas, se tendrían que registrar diariamente 827,325 líneas, es decir, 34,471 por hora, 574 por minuto o casi 10 cada segundo, sin interrupciones. Una misión que, vista a la luz de los primeros días, parece cercana a lo imposible. Costos, presión operativa y el riesgo de trasladarlo todo al usuario El reto no es solo técnico. De acuerdo a Epicentro MX, la infraestructura necesaria para operar el padrón tiene un costo estimado de más de 4,053 millones de pesos, una inversión que inicialmente absorberán las empresas, pero que podría trasladarse a los usuarios en forma de planes más caros a lo largo de 2026. Telcel, por ejemplo, tendría que registrar casi medio millón de líneas al día para cumplir con el plazo, mientras que operadores como AT&T, Movistar o BAIT enfrentan desafíos similares con decenas de millones de clientes. En el caso de los operadores móviles virtuales, el escenario es aún más complejo. Muchos dependen de modelos de atención digital y cuentan con pocos puntos físicos, lo que dificulta atender a usuarios que no logren completar el registro en línea. La CRT ha atribuido los problemas a la alta demanda y a intermitencias normales en un arranque de esta magnitud. Sin embargo, los primeros días del registro no solo han sido técnicamente fallidos, también han alimentado la desconfianza de los usuarios - La noticia El registro de líneas celulares en México comenzó con caos y un problema de fondo: nadie sabe si podrá cumplirse fue publicada originalmente en Xataka México por Obed Nares .