Entre unos y ceros

La mayor filtración silenciosa de la historia

Por Deja un comentario

⏱️ Tiempo estimado de lectura: 6 minutos y 20 segundos.

Resumen

Durante años nos repitieron que WhatsApp es “seguro” porque usa cifrado de extremo a extremo.
Y es cierto: los mensajes están protegidos.
Pero esa verdad cómoda oculta algo mucho más grande.

Durante años nos repitieron que WhatsApp es “seguro” porque usa cifrado de extremo a extremo.
Y es cierto: los mensajes están protegidos. Pero esa verdad cómoda oculta algo mucho más grande.
En noviembre de 2025, un grupo de investigadores de la Universidad de Viena publicó un trabajo
llamado “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”,
en el que demostraron que, durante más de un año, fue posible recorrer prácticamente toda la base de usuarios de WhatsApp sin ser bloqueados ni encontrar límites efectivos. Con una sola computadora y una sola conexión lograron consultar miles de números por segundo y terminaron recopilando datos de 3.5 mil millones de cuentas activas. No publicaron la base de datos por razones éticas. Pero podrían haberlo hecho.

No se rompió el cifrado. Se rompió la privacidad

Vale aclararlo desde el inicio: nadie está leyendo tus mensajes. El cifrado funciona. El problema es todo lo demás.
En la práctica, por cada cuenta se podía obtener una serie de datos que, tomados de manera aislada, parecen inofensivos, pero juntos permiten reconstruir perfiles humanos completos.
Entre los datos que se podían extraer se encontraban:

  • número de teléfono
  • foto de perfil
  • texto de estado
  • dispositivos conectados a la cuenta
  • tipo de teléfono (Android o iPhone)
  • momentos de actividad (si el teléfono parecía activo o inactivo)
  • límites de edad de la cuenta
  • claves públicas relacionadas con la protección de mensajes

Tomado de a uno puede parecer menor, pero combinado a escala planetaria se convierte en un mapa social. En los propios datos encontraron personas que, sin querer, dejaban pistas sobre su vida en su propia información pública: ideología política, religión, orientación sexual, consumo de drogas, afiliaciones, datos laborales y vínculos con otras redes sociales. Todo sin leer un solo mensaje.

El detalle que debería haber encendido todas las alarmas

Además del volumen de datos que era posible recopilar, el estudio detectó señales preocupantes en la parte de seguridad: millones de claves de protección reutilizadas entre cuentas distintas y casos extremos donde se observaron configuraciones defectuosas. Esto no rompe el sistema matemático del cifrado, pero sí debilita su implementación. En seguridad, la implementación es tan importante como los principios que la sostienen.

El pasado que sigue atacando: la filtración de Meta de 2021

Hay otra capa de esta historia que lo vuelve todavía más tangible. En 2021 se filtraron datos de más de 500 millones de usuarios de Facebook, incluyendo números de teléfono. Ese material todavía circula.
Los investigadores compararon esa filtración con los datos actuales de WhatsApp y descubrieron que el 58 % de esos números siguen activos seis años después.
Es decir: un número filtrado en el pasado sigue siendo una puerta abierta en el presente.
La conclusión es incómoda pero clara: una filtración no se “olvida”. Se vuelve infraestructura para
estafas, suplantación de identidad, llamadas automáticas, campañas de spam y ataques dirigidos.
El tiempo no cura estas cosas. Las consolida.

De la teoría al mundo real: cuando existía una herramienta para explotarlo

Mientras el trabajo académico mostraba el problema a gran escala, apareció también una prueba práctica en forma de proyecto abierto en GitHub: device-activity-tracker.
La idea era inquietante por lo simple: con solo conocer el número de WhatsApp de una persona era posible inferir señales del estado del teléfono (si estaba activo o inactivo, si parecía tener conexión o no, qué tipo de red usaba) y, con eso, reconstruir patrones de actividad diaria sin enviar mensajes visibles ni generar notificaciones.
Con el tiempo, WhatsApp modificó el funcionamiento interno que permitía esa técnica específica y, según los propios desarrolladores del proyecto, ese método hoy ya no funciona como antes
(ver discusión en GitHub: issue 11).
Pero el punto no es solo que haya sido corregido. El punto es cuánto tardaron.
Los investigadores notificaron problemas a WhatsApp en 2024. La corrección real tomó forma recién cuando la investigación estaba por publicarse, más de un año después.
Durante todo ese tiempo, el ataque fue viable.

Nueva filtración reciente

En los últimos días ha salido a la luz una filtración de datos de 17.5 millones de cuentas de Instagram. Datos de usuarios como correos electrónicos, nombres de perfiles y hasta direcciones particulares registradas en la plataforma están ya en manos de hackers. Solo basta hacer un entrecruzamiento de datos masivos para compararlo con lo obtenido ya en 2021. Pero más allá de eso, muchos usuarios ya están recibiendo notificaciones para cambiar sus contraseñas de instagram por correo electrónico que, parecen reales; pero no lo son.

Lo que podés hacer hoy

En cuanto a WhatsApp: El cifrado protege tus mensajes. No protege tu identidad ni tu vida alrededor de los mensajes. La privacidad real depende de cómo usamos estas plataformas y qué tan visibles hacemos nuestros propios datos.
Para reducir la exposición, lo más simple y efectivo es revisar quién puede ver tu información básica: tu foto de perfil, tu estado, tu última conexión y tu presencia en línea. Si estas cosas están visibles para cualquiera, estás regalando contexto que, en conjunto, puede ser usado para construir un retrato completo de tu vida. Lo mejor es dejarlo visible solo para tus contactos.
También es útil evitar poner enlaces a otras redes o información personal en tu perfil. No porque eso sea “ilegal”, sino porque facilita el cruce de identidades: un número + otra red social = una biografía completa.
Una revisión rápida de los dispositivos conectados a tu cuenta puede ayudar también: si hay sesiones que no reconocés, cerrarlas es una medida de higiene digital que no cuesta nada.
En cuanto a instagram, si recibís un correo electrónico en el que te piden cambiar tu contraseña entrando a un link, no lo hagas. Cambiala directamente desde el menú de configuración dentro de la propia aplicación.

Conclusión

La seguridad moderna no se rompe con un ataque espectacular. Se desgasta con filtraciones silenciosas que, juntas, permiten mapear a la humanidad. No hace falta leer tus mensajes para saber quién sos. Basta con todo lo que los rodea.
Pero además, empresas que se jactan de solicitarnos datos para confirmar que somos usuarios reales, no hacen lo suficiente para cuidar estos datos que les proporcionamos. Recientes robos de datos a ARCA (Ex AFIP) y ANSES en Argentina, nos demuestran que esto afecta también y con mayor importancia aún, a instituciones gubernamentales. Aunque el gobierno haya desmentido dicha filtración, las preguntas siguen abiertas: ¿Hoy en día con el avance de la tecnología en todos los ámbitos, qué podría hacer una Inteligencia Artificial con toda esa información recopilada, procesada y analizada? ¿No deberían las empresas concentrarse en incrementar la seguridad de nuestros datos, en lugar de lanzar IAs a usuarios no preparados para utilizarlas? ¿O dicho sea de paso, a usuarios extremadamente preparados para crear sus propios Agentes de Inteligencia Artificial, para realizar hackeos masivos de esta índole?
Por mi parte, sinceramente quisiera no conocer esas respuestas. Pero soy programadora. Y lamentablemente, las conozco.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *