Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Mejoras clave en la seguridad de WhatsApp tras la revisión de su sistema de contactos

Fecha de publicación 11/12/2025

Durante noviembre de 2025, ciertos investigadores de la universidad de Viena y del centro SBA Research descubrieron una vulnerabilidad en la función de “descubrimiento de contactos” de WhatsApp. La investigación reveló que el sistema permitía hacer consultas masivas para verificar si un número telefónico estaba registrado en la plataforma. La combinación de esta circunstancia con la falta de límites efectivos en el volumen de solicitudes permitía obtener información sobre millones de cuentas activas en un breve periodo de tiempo.

Los científicos pudieron reconocer cerca de 3.500 millones de cuentas, un número mucho mayor que el que WhatsApp considera oficialmente como usuarios. La vulnerabilidad, además de validar los números telefónicos, posibilitaba el acceso a información pública vinculada a cada perfil, incluyendo imágenes, textos de estado, algunos metadatos técnicos y claves públicas de cifrado. A pesar de que los mensajes privados no se vieron comprometidos, el alcance del acceso potencial representaba un riesgo significativo para las campañas de ingeniería social, phishing y spam. Después de recibir la comunicación, la compañía responsable implementó medidas para mitigar el problema, las cuales incluyeron restricciones de tráfico, mejoras anti-scraping y un fortalecimiento de los controles de privacidad. Los datos que los investigadores recolectaron fueron borrados por ellos mismos después de concluir la investigación.

En la actualidad, no se tiene constancia de que actores maliciosos hayan aprovechado la vulnerabilidad antes de ser divulgada ni se considera que esta sea una amenaza. No obstante, el asunto ha vuelto a abrir la discusión acerca de la utilización del número telefónico como identificador principal. Se espera que WhatsApp siga fortaleciendo las regulaciones relacionadas con el descubrimiento de contactos y que las auditorías externas sean más significativas en el futuro. La recomendación para los usuarios continúa siendo que revisen y modifiquen la configuración de privacidad, de modo que reduzcan la visibilidad de elementos como su foto de perfil o su estado cuando no sea necesario compartirlos públicamente
 

Referencias
Etiquetas