Investigadores enumeran 3.500 millones de cuentas de WhatsApp

Un equipo de investigadores de la Universidad de Viena y SBA Research ha confeccionado un listado de números de teléfono y su información personal asociada de 3.500 millones de usuarios de WhatsApp, abusando de un fallo de su API, la cual carecía de limitación de velocidad (rate limiting).

¿Cómo lo lograron?

Los investigadores, a diferencia de otros estudios anteriores que utilizaban el cliente de WhatsApp oficial, peticionaron directamente a la API de WhatsApp en XMPP, la cual ofrecía endpoints para obtener información de los dispositivos que utilizan WhatsApp (GetDeviceList), sus usuarios (GetUserInfo) e incluso las claves públicas usadas en el cifrado extremo a extremo (GetPrekeys). Las imágenes de perfil eran accesibles mediante un endpoint HTTP, FetchPicture.

En una primera fase, el estudio comenzó enumerando todos los números de teléfono válidos de Estados Unidos (488 millones) hallados en la filtración de Facebook de 2021 y, después, el resto de números de teléfono de dicha filtración, usando la librería de código abierto Libphonenumber de Google, todo ello a una velocidad de 100 millones de teléfonos por hora y pudiendo inferir datos de perfil como la biografía (texto de «Info.»), los dispositivos vinculados a cada usuario (tanto principal como secundarios), las claves públicas del cifrado extremo a extremo y la imagen de perfil (mediante HTTP, con el endpoint FetchPicture). Además, la mayoría de las consultas se realizaron en lotes de 50.000 cuentas por petición, reduciendo la cantidad de peticiones necesarias.

En la segunda fase, para encontrar más números de teléfono activos, los investigadores crearon Libphonegen, su propio generador de números de teléfono, a partir de los planes de numeración definidos por la Unión Internacional de Telecomunicaciones (UIT), el scraping de servicios públicos y la validación de la librería Libphonenumber. En total, generaron 646 mil millones de números de teléfono para 245 países ISO 3166-1, que redujeron a 63 mil millones tras un posprocesado.

Finalmente, entre a mediados de diciembre de 2024 y mediados de abril de 2025, se realizaron varias rondas de enumeración de los teléfonos encontrados y generados contra la API de WhatsApp, llegando a confirmarse un total de 3.546.479.731 cuentas.

Toda la operación se realizó desde un único servidor universitario usando solo cinco sesiones de autenticación. No había consecuencias: ninguna queja por parte de Meta, ninguna limitación a la velocidad de las peticiones, ningún mecanismo de throttling y ningún bloqueo.

«¡Hola! Estás usando WhatsApp.»

En el artículo también se han revelado distintas estadísticas sobre el uso de WhatsApp en todo el mundo:

• Más del 57 % de los usuarios del mundo tienen una imagen de perfil pública. Por países, este porcentaje varía del 36 % de Filipinas al 80 % de algunos países de África Occidental (como Malí, Burkina Faso y Guinea-Bisáu).
• Se ha podido extraer la biografía de al menos el 29 % de los usuarios del mundo. Por países, este porcentaje varía del 6 % de Algeria y Filipinas a más del 45 % en varios países europeos (como Países Bajos, Suecia, Italia, Finlandia y Reino Unido).
• Un 9 % de las cuentas están marcadas como cuentas de negocios. Por países, esto varía de un 2 % en Estados Unidos y Alemania a un 33 % en varios países africanos.
• Los cálculos revelan que Mónaco es el país con más cuentas de WhatsApp activas per cápita, con 4,8 cuentas por habitante. Le sigue Emiratos Árabes Unidos, con 1,76 cuentas por habitante. En Latinoamérica, WhatsApp también es muy popular, con tasas que superan 0,98 cuentas por habitante.
• En contraste, en Etiopía y Corea del Sur esta tasa es de solo 0,04 cuentas por habitante y en Japón, 0,02. Esto se explica con la preferencia por plataformas de comunicación locales como KakaoTalk (Corea del Sur) y LINE (Japón).
• Se han encontrado cuentas activas en países que prohíben oficialmente el uso de WhatsApp. Concretamente, se mencionan China (2,3 millones), Irán (59 millones), Birmania (1,6 millones) y Corea del Norte (solo 5). En Irán, donde dos de cada tres habitantes usaban WhatsApp, se levantó la prohibición en diciembre de 2024.
• Se han descargado más de 77 millones de imágenes de perfil asociados a números de teléfono estadounidenses. Se han detectado caras humanas en dos de cada tres de estas imágenes.

Lo que podría haber sido

Los investigadores informaron del problema a Meta y desde entonces, la compañía ha añadido limitaciones de velocidad para evitar futuros abusos. Aunque no divulgaron los datos de los usuarios de WhatsApp, este caso representa un ejemplo perfecto de cómo un actor malicioso puede aprovechar la falta de protección de endpoints de API expuestos al público para «raspar» cantidades masivas de información personal, con los problemas de privacidad que puede suponer su divulgación o venta.

«Con 3,5 mil millones de registros (es decir, cuentas activas), analizamos un conjunto de datos que, según nuestro conocimiento, se clasificaría como la mayor filtración de datos de la historia, si no se hubiera recopilado como parte de un estudio de investigación realizado de forma responsable.»

Más información:

• WhatsApp API flaw let researchers scrape 3.5 billion accounts (Bleeping Computer) https://www.bleepingcomputer.com/news/security/whatsapp-api-flaw-let-researchers-scrape-35-billion-accounts/
• Un simple fallo de seguridad de WhatsApp expuso 3,500 millones de números de teléfono (WIRED) https://es.wired.com/articulos/un-simple-fallo-de-seguridad-de-whatsapp-expuso-3500-millones-de-numeros-de-telefono
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (artículo original) https://github.com/sbaresearch/whatsapp-census/blob/main/Hey_there_You_are_using_WhatsApp.pdf

Acerca de Daniel Pérez Porras

Daniel Pérez Porras Ha escrito 18 publicaciones.

Desarrollador de Software en Hispasec Sistemas

• View all posts by Daniel Pérez Porras →
• Blog