Un equipo de investigadores descubrió que la API de descubrimiento de contactos de WhatsApp podía ser explotada para obtener información personal de 3.5 mil millones de cuentas activas, incluyendo fotos de perfil, textos “sobre mí” y datos de dispositivos asociados.
La falla residía en la ausencia de limitación de consultas (rate limiting), lo que permitió un raspado masivo de datos sin que la plataforma detectara actividad anómala.
WhatsApp ya implementó protecciones de limitación de tráfico, pero este caso evidencia cómo las APIs mal protegidas pueden convertirse en un vector crítico para la exposición de datos.
¿Cómo se llevó a cabo la recopilación de datos?
Los investigadores de la Universidad de Viena y SBA Research utilizaron la API GetDeviceList, diseñada para comprobar si un número de teléfono estaba registrado en WhatsApp y qué dispositivos lo utilizaban.
Con solo cinco sesiones autenticadas desde un único servidor, pudieron consultar más de 100 millones de números por hora, sin que WhatsApp bloquease las cuentas ni limitase las peticiones.
Posteriormente, probaron 63 mil millones de posibles números y confirmaron 3.5 mil millones de cuentas activas.
Esta operación también permitió obtener un mapa global del uso de WhatsApp: India lidera con 749 millones de usuarios, seguida de Indonesia (235 millones), Brasil (206 millones), Estados Unidos (138 millones) y Rusia (133 millones).
Incluso se detectó actividad en países donde WhatsApp estaba prohibido, como China, Irán y Corea del Norte.
Copia de Seguridad de WhatsApp NO se puede Completar y Cómo Solucionarlo
Datos adicionales recolectados y su impacto
Además de confirmar la existencia de cuentas, los investigadores utilizaron otras APIs para obtener fotos de perfil, textos “sobre mí” y claves públicas para cifrado de extremo a extremo.
Solo en Estados Unidos, lograron descargar 77 millones de fotos de perfil, muchas mostrando rostros identificables y datos públicos, que podían vincularse a otras redes sociales.
El estudio comparó los hallazgos con la filtración de Facebook en 2021, revelando que el 58% de los números filtrados entonces seguían activos en WhatsApp en 2025, demostrando la persistencia y el riesgo de las filtraciones masivas de números de teléfono a lo largo del tiempo.
WhatsApp: Nueva función para esconderse y aprender a no ser espiado
WhatsApp y el problema generalizado de las APIs sin limitación
La vulnerabilidad de WhatsApp refleja un problema común en plataformas online: APIs diseñadas para facilitar tareas pueden ser explotadas para raspado masivo de datos.
Casos similares incluyen:
- La filtración de 533 millones de usuarios de Facebook en 2021.
- La asociación de números de teléfono y emails a 54 millones de cuentas de Twitter.
- El raspado de 49 millones de registros de clientes de Dell mediante APIs sin protección.
Estos incidentes demuestran que la falta de control en el acceso a APIs, especialmente la ausencia de limitación de consultas, es un riesgo recurrente y grave para la privacidad de los usuarios.
Copia de Seguridad de WhatsApp NO se puede Completar y Cómo Solucionarlo
Conclusión
Aunque este estudio fue realizado de forma responsable y los datos no se han liberado públicamente, ilustra cómo una API mal protegida puede permitir la recopilación masiva de información personal sensible.
Para empresas y desarrolladores, la recomendación es clara:
- Implementar limitaciones de velocidad y verificación de accesos en APIs.
- Revisar regularmente la seguridad de endpoints de cuentas y datos sensibles.
- Concienciar a los usuarios sobre los riesgos de exposición de sus números y perfiles en plataformas globales.
La investigación, titulada “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, evidencia que incluso servicios ampliamente usados y cifrados pueden ser vulnerables si no se aplican medidas básicas de protección en sus APIs.