California, Estados Unidos. – Investigadores de la Universidad de Viena han descubierto una grave vulnerabilidad en WhatsApp que permitió la enumeración de 3.500 millones de cuentas. El fallo estaba en el mecanismo de descubrimiento de contactos de la app.

Gracias a un sistema automatizado, los expertos lograron consultar más de 100 millones de números por hora, sin encontrar bloqueos. Esto les permitió confirmar la existencia de miles de millones de cuentas activas.

No solo obtuvieron los números: según el estudio, alrededor del 57 % de los usuarios tenía la foto de perfil pública y el 29 % compartía texto personal (“acerca de”) visible.

A pesar de esta magnitud, no accedieron a los mensajes privados, ya que WhatsApp mantiene el cifrado de extremo a extremo.

Los investigadores advirtieron que a partir de esos datos no solo se podían identificar cuentas, sino inferir información adicional: sistema operativo, edad de la cuenta o cuántos dispositivos vinculados había.

Meta, matriz de WhatsApp, aseguró que el informe se hizo con ética: los datos recopilados fueron eliminados, y se implementaron medidas en octubre de 2025 para limitar la velocidad de consultas y visibilidad de perfil.

Los investigadores señalaron que el sistema de número de teléfono como identificador es parte del problema: al ser público y sistemáticamente verificable, se presta para un escrapeo masivo.

Este hallazgo pone de relieve un riesgo clave: incluso sin acceso a los mensajes, la metadata (números, fotos, textos públicos) puede ser usada para construir perfiles en masa. La investigación será presentada en 2026 en el congreso NDSS.