Cómo se extrajeron y expusieron 3.500 millones de números de WhatsApp

La mayoría de las plataformas principales se han enfrentado a filtraciones de datos a gran escala relacionadas con API débiles o desprotegidas. Ya has visto cómo ocurre esto con Facebook, X e incluso Dell.

El patrón es siempre el mismo. Una función destinada a hacer la vida más fácil se convierte en una puerta de entrada para la recopilación masiva de datos.

WhatsApp ahora es parte de esa lista después de que los investigadores lograron extraer 3.500 millones de números de teléfono explotando una simple brecha en el sistema de descubrimiento de contactos de la aplicación.

Regístrese para recibir mi informe CyberGuy GRATIS
Reciba mis mejores consejos técnicos, alertas de seguridad urgentes y ofertas exclusivas directamente en su bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía definitiva para sobrevivir a estafas, gratis si te unes a mi CYBERGUY.COM hoja informativa.

Cómo los investigadores extrajeron 3.500 millones de números de WhatsApp

WHATSAPP PROHIBE 6,8 M DE CUENTAS ESTAFAS Y LANZA HERRAMIENTA DE SEGURIDAD

Según informó Bleeping Computer, todo el incidente comenzó con la API GetDeviceList de WhatsApp. Este es el punto final que utiliza la aplicación cuando agrega un número a sus contactos. Le dice a WhatsApp que verifique si ese número tiene una cuenta y qué dispositivos están vinculados a ella. El problema era que la API no tenía una limitación de velocidad significativa. En términos simples, el sistema no ralentizó ni bloqueó las solicitudes repetidas, lo que abrió la puerta a la enumeración masiva.

Investigadores de la Universidad de Viena y SBA Research decidieron comprobar hasta dónde podían llevar esto. Utilizando solo cinco sesiones autenticadas y un único servidor universitario, comenzaron a bombardear los servidores de WhatsApp con consultas. Esperaban que los bloquearan rápidamente, pero WhatsApp no ​​reaccionó en absoluto.

Así pudieron comprobar más de 100 millones de números de teléfono por hora. Después de generar un grupo global de 63 mil millones de posibles números móviles, ejecutaron la lista a través de la API y confirmaron 3,5 mil millones de cuentas activas de WhatsApp.

Los investigadores lograron extraer algo más que números de teléfono

Los investigadores no se limitaron a confirmar la existencia de la cuenta. Utilizaron otros puntos finales de WhatsApp como GetUserInfo, GetPrekeys y FetchPicture para obtener más detalles. Esto incluía fotos de perfil, texto “acerca de”, información del dispositivo y claves públicas. Una prueba realizada sólo en Estados Unidos descargó 77 millones de fotos de perfil sin alcanzar ningún límite, muchas de ellas con imágenes claras de los rostros de las personas. Las secciones públicas “acerca de” a menudo revelaban información personal o enlaces a otros perfiles. En comparación con el raspado de Facebook de 2021, descubrieron que el 58% de los números de Facebook filtrados todavía estaban activos en WhatsApp años después. Eso es lo que hace que las filtraciones de números de teléfono sean tan dañinas. Siguen siendo útiles para los atacantes mucho después de la infracción inicial.

LOS LEGALES RUSOS AFIGAN QUE WHATSAPP ES UNA AMENAZA PARA LA SEGURIDAD NACIONAL, DEBEN PREPARARSE PARA SALIR DEL PAÍS

Es importante señalar que este estudio fue realizado por investigadores que no han publicado los datos. También informaron del problema a WhatsApp. Desde entonces, la compañía ha agregado protecciones que limitan las tarifas para evitar que se repitan abusos similares. Aún así, los hallazgos muestran con qué facilidad los actores de amenazas podrían haber hecho lo mismo si hubieran encontrado la laguna jurídica primero.

Por qué esto sigue sucediendo en las principales plataformas

Los límites de velocidad de API débiles o inexistentes han provocado varias filtraciones de datos importantes en los últimos años, y WhatsApp no ​​es el único ejemplo. En 2021, los atacantes abusaron de la función “Agregar amigo” de Facebook cargando listas de contactos y verificando qué números coincidían con las cuentas activas. La API carecía de las protecciones adecuadas, por lo que eliminaron 533 millones de perfiles. Más tarde, Meta confirmó que el incidente fue un scraping automatizado y el DPC irlandés multó a la empresa con 265 millones de euros.

Twitter tuvo un problema similar cuando los atacantes utilizaron un error de API para hacer coincidir números de teléfono y direcciones de correo electrónico con 54 millones de cuentas. Dell también informó que se eliminaron 49 millones de registros de clientes después de que los atacantes aprovecharan un punto final API desprotegido.

Todos estos casos comparten la misma causa raíz. Las API que permiten búsquedas de cuentas o consultas de datos terminan siendo fáciles de atacar cuando no limitan la frecuencia con la que alguien puede acceder a ellas. Una característica no controlada puede convertirse en un canal para la recopilación masiva de datos.

7 pasos que puedes seguir para mantener seguros tus datos de WhatsApp

Si su número de teléfono termina en uno de estos problemas masivos, no puede recuperarlo, pero puede asegurarse de que sea mucho menos útil para cualquiera que intente atacarlo. Aquí hay algunos pasos que lo ayudarán a mantenerse más seguro.

1) Utilice la autenticación de dos factores

Active 2FA para WhatsApp y cualquier otra cuenta importante. Incluso si alguien tiene su número, no puede ingresar sin ese segundo paso de verificación. También lo protege de intentos de intercambio de SIM, ya que los ladrones no pueden acceder a sus cuentas con solo una contraseña.

Un sencillo script automatizado extrajo datos del teléfono a gran escala sin activar alertas. (producciones eyecrave/Getty Images)

2) Utilice un administrador de contraseñas

Un administrador de contraseñas mantiene cada inicio de sesión único. Si los atacantes intentan vincular su número extraído con ataques de relleno de credenciales, las contraseñas reutilizadas no les darán una victoria fácil. Las contraseñas seguras y aleatorias desactivan toda una categoría de ataques automatizados.

A continuación, compruebe si su correo electrónico ha estado expuesto en infracciones anteriores. Nuestra elección de administrador de contraseñas número uno incluye un escáner de infracciones integrado que verifica si su dirección de correo electrónico o sus contraseñas han aparecido en filtraciones conocidas. Si descubre una coincidencia, cambie inmediatamente las contraseñas reutilizadas y proteja esas cuentas con credenciales nuevas y únicas.

Consulte los mejores administradores de contraseñas revisados ​​por expertos de 2025 en Cyberguy.com.

3) Elimina tus datos de las bases de datos públicas

Opte por no participar en corredores de datos y sitios de búsqueda de personas cuando pueda. Cuanta menos información pública puedan vincular los atacantes a su número, más difícil les resultará elaborar mensajes de phishing convincentes o estafas basadas en la identidad.

Si bien ningún servicio puede garantizar la eliminación completa de sus datos de Internet, un servicio de eliminación de datos es realmente una opción inteligente. No son baratos, y su privacidad tampoco. Estos servicios hacen todo el trabajo por usted al monitorear activamente y borrar sistemáticamente su información personal de cientos de sitios web. Es lo que me da tranquilidad y ha demostrado ser la forma más eficaz de borrar tus datos personales de Internet. Al limitar la información disponible, se reduce el riesgo de que los estafadores crucen los datos de las filtraciones con información que puedan encontrar en la web oscura, lo que les dificulta atacarlo.

¿ESTÁ COMPROMETIDO EL NÚMERO DE TELÉFONO DE TU AMIGO? ESTO ES LO QUE DEBE BUSCAR

Consulte mis mejores opciones para servicios de eliminación de datos y obtenga un escaneo gratuito para descubrir si su información personal ya está disponible en la web visitando Cyberguy.com.

Obtenga un escaneo gratuito para descubrir si su información personal ya está disponible en la web: Cyberguy.com.

4) Limita lo que compartes en las biografías del perfil.

Mantenga el texto “acerca de” de WhatsApp al mínimo. Evite detalles como puestos de trabajo, lugares de origen o enlaces a otras cuentas. Los números de teléfono extraídos a menudo se combinan con biografías visibles públicamente para crear perfiles más completos para estafas.

5) Mejora tu configuración de privacidad

Ajusta quién puede ver tu foto de perfil, la última vez que la vio y su estado. Configurarlos en “Sólo contactos” o “Nadie” evita que extraños obtengan más información personal una vez que tengan su número. Para reforzar su configuración de privacidad en WhatsApp en iPhone o Android, siga estos pasos:

• Abra WhatsApp en su teléfono en su teléfono.
• Ir a Ajustes: En iPhonetoca el “Icono de engranaje de configuración en la parte inferior derecha. En Androidetoca el tres puntos verticales en la esquina superior derecha y luego selecciona “Ajustes.”
• Grifo “Cuenta.”
• Grifo “Privacidad.”
• Ajuste las opciones de privacidad a continuación para controlar quién puede ver su información personal:
• Visto por última vez y en línea: Grifo “Visto por última vez y en línea” y elige “Mis contactos” o “Nadie” para restringir quién ve su último estado activo.
• Foto de perfil: Grifo “Foto de perfil” y seleccione “Mis contactos” o “Nadie” para evitar que extraños vean tu foto de perfil.
• Acerca de: Grifo “Acerca de” y escoger “Mis contactos” o “Nadie” para limitar quién puede ver tu información Acerca de.
• Estado: Grifo “Estado,” luego seleccione “Mis contactos”, “Mis contactos excepto…,” o “Compartir solo con…” para controlar quién puede ver sus actualizaciones de estado.

Estos cambios evitan que personas que no están en sus contactos o extraños obtengan datos personales de su perfil de WhatsApp, mejorando su privacidad de manera efectiva en dispositivos iPhone o Android.

Debido a que el sistema carecía de una limitación de velocidad adecuada, el raspado continuó sin ser detectado durante meses. (Kurt Knutsson)

6) Instale un software antivirus potente

Muchas campañas de phishing y malware comienzan con números extraídos. Un software antivirus potente puede bloquear enlaces maliciosos, detectar descargas dañinas y advertirle cuando algo parezca sospechoso.

La mejor manera de protegerse de enlaces maliciosos que instalan malware y potencialmente acceden a su información privada es tener instalado un software antivirus potente en todos sus dispositivos. Esta protección también puede alertarle sobre correos electrónicos de phishing y estafas de ransomware, manteniendo seguros su información personal y sus activos digitales.

Obtenga mis selecciones para los mejores ganadores de protección antivirus de 2025 para sus dispositivos Windows, Mac, Android e iOS en Cyberguy.com.

7) Ten cuidado con llamadas y mensajes desconocidos

Trate los mensajes inesperados con más sospecha. No haga clic en enlaces, no comparta OTP y no responda a nadie que le solicite códigos de verificación. Una vez que se obtienen los números, los estafadores aumentan el spam y los intentos de suplantación de identidad.

La conclusión clave de Kurt

Es posible que WhatsApp haya solucionado el problema, pero el problema más grande aún persiste. Cualquier plataforma que exponga una API sin límites de velocidad adecuados deja una ventana abierta para alguien con las herramientas adecuadas y el tiempo suficiente. Este raspado le muestra qué tan rápido esa ventana puede convertirse en una manguera de datos personales. Hasta que la seguridad de API se convierta en una prioridad en todos los ámbitos, seguirán viendo filtraciones como esta que se repiten en escalas cada vez mayores.

¿Crees que las aplicaciones deberían estar obligadas legalmente a imponer límites estrictos de API? Háganos saber escribiéndonos a Cyberguy.com.

HAGA CLIC AQUÍ PARA DESCARGAR LA APLICACIÓN FOX NEWS

Regístrese para recibir mi informe CyberGuy GRATIS
Reciba mis mejores consejos técnicos, alertas de seguridad urgentes y ofertas exclusivas directamente en su bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía definitiva para sobrevivir a estafas, gratis si te unes a mi CYBERGUY.COM hoja informativa.

Copyright 2025 CyberGuy.com. Reservados todos los derechos.