3.500 millones de números de teléfono accesibles públicamente: investigadores reunieron en pocas horas la base de datos de todos los usuarios de WhatsApp.

Las dimensiones de la filtración descrita por el equipo de la Universidad de Viena muestran cuán peligrosa puede resultar la habitual función de búsqueda de contactos en los mensajeros populares. WhatsApp siempre se ha centrado en facilitar la incorporación de nuevas personas: basta con introducir el teléfono en la libreta de direcciones y el servicio muestra al instante si la persona está registrada en la aplicación, revelando el nombre, la foto y parte del perfil. Sin embargo, esa simplicidad se convirtió en la base de una de las mayores recopilaciones de datos de usuarios en la historia, y todo ocurrió sin hackeo ni elusión de barreras técnicas.

Los investigadores austríacos decidieron verificar si era posible, mediante un barrido automático de números, saber quién usa exactamente WhatsApp. Pusieron en marcha ese proceso y, en pocas horas, quedó claro que prácticamente no había limitaciones. El servicio permitía enviar una cantidad ilimitada de consultas a través de la versión web, y como resultado el equipo logró construir una base de 3,5 mil millones de números —es decir, recopilar de facto información sobre prácticamente todos los usuarios de la aplicación en el planeta. Para casi el 57% de los registros consiguieron además obtener fotografías de perfil, y para casi un tercio —estados de texto que muchas personas usan como breve autopresentación.

Según los propios investigadores, esto habría sido la mayor filtración conocida de números y de elementos públicos de perfil si los datos no se hubieran recopilado exclusivamente con fines académicos. Informaron del hallazgo en primavera y eliminaron todo el conjunto, pero hasta octubre el sistema siguió siendo completamente vulnerable, por lo que cualquiera podría haber llevado a cabo una operación similar: desde spammers hasta organismos estatales que vigilan la actividad no deseada de sus ciudadanos.

A pesar de las garantías de Meta de que la compañía está implementando mecanismos de protección cada vez más eficaces contra la recopilación masiva de datos, el equipo de Viena afirma que en la práctica no observó ninguna limitación. Recordaron que ya en 2017 se había advertido de un problema similar en WhatsApp: un investigador holandés, Loran Klöze, describió entonces un esquema de verificación masiva de números y demostró que se puede recopilar no solo la información del perfil, sino también el tiempo de conexión en línea. Incluso en aquel momento la compañía declaró que todo funcionaba dentro de los ajustes de privacidad estándar.

La comparación de los resultados actuales con los de hace ocho años muestra cuánto ha aumentado el riesgo. Si antes se trataba de decenas de millones de registros potencialmente accesibles, ahora el servicio es usado por más de un tercio de la población mundial, y el número telefónico dejó de ser algo aleatorio hace tiempo. Los investigadores subrayan que el teléfono no puede funcionar como identificador secreto: los rangos de numeración están limitados, por lo que el barrido siempre es posible si no existen restricciones estrictas sobre la cantidad de consultas.

El equipo también examinó las características de los perfiles por países. En EE. UU., de los 137 millones de números recopilados, el 44% de los usuarios tenía la fotografía de perfil abierta y alrededor de un tercio mostraba un estado de texto. En India, donde WhatsApp se emplea mucho más, el 62% de los 750 millones de perfiles estaban abiertos. En Brasil la cifra es casi la misma: 61% de 206 millones. Cuanto más popular es el servicio, menos usuarios cambian los ajustes de privacidad y mayor es el número de personas que dejan accesibles sus imágenes y descripciones.

Preocupó de forma especial el hallazgo de millones de números en países donde WhatsApp está bloqueado oficialmente. Los investigadores localizaron 2,3 millones de esos registros para China y 1,6 millones para Myanmar. La existencia de esa información permite a las autoridades locales rastrear a las personas que eluden las prohibiciones y, en algunos casos, usarla como base para persecuciones. Hay informes de que en China ya se detuvo a personas por el simple hecho de tener instalada la aplicación.

Al analizar las claves usadas en el protocolo de cifrado de extremo a extremo para obtener mensajes, el equipo observó otra anomalía: una cantidad significativa de valores repetidos. Algunas claves se usaron cientos de veces, y alrededor de dos decenas de números estadounidenses estaban vinculados a una clave cero. Los investigadores sospechan que se trata de clientes de WhatsApp no oficiales que son usados activamente por grupos fraudulentos. También lo sugería el comportamiento de ciertas cuentas con claves repetidas: claramente parecían herramientas para estafas o envíos masivos.

El problema principal, según el equipo, no es solo la falta de límites, sino la elección de vincular el identificador al número de teléfono. Con ese esquema, el servicio no puede garantizar una protección efectiva contra la recopilación masiva de datos si quiere mantener la simplicidad de la búsqueda de contactos. Meta ya está probando una alternativa basada en nombres de usuario internos, y es posible que la transición a ese modelo se convierta en un paso necesario para reducir los riesgos.

Los investigadores austríacos enfatizan que su trabajo expone la vulnerabilidad de toda una categoría de servicios donde el teléfono se usa como identificador principal. La popularidad convierte esos sistemas en fuentes de enormes conjuntos de datos que quedan disponibles sin necesidad de sortear barreras técnicas. Para un servicio con una audiencia de miles de millones, esto significa que la protección de la privacidad debe apoyarse no solo en políticas y ajustes, sino, sobre todo, en restricciones técnicas estrictas y en abandonar esquemas de identificación demasiado predecibles.