Este sitio web fue traducido automáticamente. Para obtener más información, haz clic aquí.
Expand / Collapse search
Ver televisión
Menú

Este material no puede ser publicado, difundido, reescrito ni redistribuido. ©2026 FOX News Network, LLC. Todos los derechos reservados. Las cotizaciones se muestran en tiempo real o con un retraso mínimo de 15 minutos. Datos de mercado proporcionados por Factset. Desarrollado e implementado por FactSet Digital Solutions. Aviso legal. Datos sobre fondos de inversión y ETF proporcionados por LSEG.

Seguridad

Cómo se recopilaron y expusieron 3500 millones de números de WhatsApp

Una simple falla en la API expuso miles de millones

Por Kurt Knutsson, CyberGuy Report Fox News
cerrar
Titulares principales de Fox News para el 4 de diciembre Vídeo

Titulares principales de Fox News para el 4 de diciembre

Aquí están los titulares principales Fox News . Echa un vistazo a lo más destacado en FoxNews.com.

NUEVO¡Ahorapuedes escuchar los artículos Fox News !

La mayoría de las principales plataformas han tenido que hacer frente a fugas de datos a gran escala relacionadas con API débiles o desprotegidas. Esto es lo que ha ocurrido con Facebook, X e incluso Dell.

El patrón es siempre el mismo. Una función destinada a facilitar la vida se convierte en una puerta de entrada para la recopilación masiva de datos.

WhatsApp ahora forma parte de esa lista después de que los investigadores lograran recopilar 3500 millones de números de teléfono aprovechando una simple brecha en el sistema de búsqueda de contactos de la aplicación.

Suscríbase a mi informe gratuito CyberGuy Report
Reciba mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas directamente en tu bandeja de entrada. Además, obtendrá acceso instantáneo a mi Ultimate Scam Survival Guide (Guía definitiva para sobrevivir a las estafas), gratis al unirse a mi CYBERGUY.COM .   

Cómo los investigadores recopilaron 3500 millones de números de WhatsApp

WhatsApp bloquea 6,8 millones de cuentas fraudulentas y lanza una herramienta de seguridad

Una persona sostiene un teléfono inteligente en el que se ve la aplicación WhatsApp.

Los investigadores descubrieron que los débiles límites de la API permitían recopilar miles de millones de números de WhatsApp. (Getty Images)

Según informa Bleeping Computer, todo el incidente comenzó con la API GetDeviceList de WhatsApp. Se trata del punto final que utiliza la aplicación cuando añades un número a tus contactos. Le indica a WhatsApp que compruebe si ese número tiene una cuenta y qué dispositivos están vinculados a él. El problema era que la API no tenía una limitación de velocidad significativa. En términos sencillos, el sistema no ralentizaba ni bloqueaba las solicitudes repetidas, lo que abría la puerta a un recuento masivo.

Investigadores de la Universidad de Viena y SBA Research decidieron poner a prueba hasta dónde podían llegar. Utilizando solo cinco sesiones autenticadas y un único servidor universitario, comenzaron a bombardear los servidores de WhatsApp con consultas. Esperaban que los bloquearan rápidamente, pero WhatsApp no reaccionó en absoluto.

Así es como pudieron comprobar más de 100 millones de números de teléfono por hora. Tras generar un conjunto global de 63 000 millones de números de móvil posibles, pasaron la lista por la API y confirmaron 3500 millones de cuentas activas de WhatsApp.

Los investigadores lograron recopilar más que solo números de teléfono.

Los investigadores no se limitaron a confirmar la existencia de las cuentas. Utilizaron otros puntos finales de WhatsApp, como GetUserInfo, GetPrekeys y FetchPicture, para obtener más detalles. Entre ellos se incluían fotos de perfil, texto «acerca de», información del dispositivo y claves públicas. Una prueba realizada solo en Estados Unidos descargó 77 millones de fotos de perfil sin alcanzar ningún límite, muchas de ellas con imágenes nítidas de los rostros de las personas. Las secciones públicas «Acerca de» a menudo revelaban información personal o enlaces a otros perfiles. Al compararlo con el rastreo Facebook de 2021, descubrieron que el 58 % de Facebook filtrados Facebook seguían activos en WhatsApp años después. Eso es lo que hace que las filtraciones de números de teléfono sean tan perjudiciales. Siguen siendo útiles para los atacantes mucho tiempo después de la violación inicial.

LOS LEGISLADORES RUSOS AFIRMAN QUE WHATSAPP ES UNA AMENAZA PARA LA SEGURIDAD NACIONAL Y DEBEN PREPARARSE PARA ABANDONAR EL PAÍS.

Es importante señalar que este estudio fue realizado por investigadores que no han publicado los datos. También informaron del problema a WhatsApp. Desde entonces, la empresa ha añadido protecciones de limitación de velocidad para evitar que se repitan abusos similares. Aun así, los resultados muestran lo fácil que habría sido para los autores de las amenazas hacer lo mismo si hubieran encontrado primero la laguna.

¿Por qué sigue ocurriendo esto en las principales plataformas?

Los límites de velocidad de las API débiles o inexistentes han provocado varias fugas de datos importantes en los últimos años, y WhatsApp no es el único ejemplo. En 2021, los atacantes abusaron de la función «Añadir amigo» Facebooksubiendo listas de contactos y comprobando qué números coincidían con cuentas activas. La API carecía de las medidas de seguridad adecuadas, por lo que recopilaron 533 millones de perfiles. Meta confirmó posteriormente que el incidente se trataba de un rastreo automatizado, y la DPC irlandesa multó a la empresa con 265 millones de euros.

Twitter un problema similar cuando unos atacantes utilizaron un error en la API para relacionar números de teléfono y direcciones de correo electrónico con 54 millones de cuentas. Dell también informó de que se habían sustraído 49 millones de registros de clientes después de que unos atacantes aprovecharan un punto final de la API desprotegido.

Todos estos casos comparten la misma causa fundamental. Las API que permiten búsquedas de cuentas o consultas de datos terminan siendo fáciles de atacar cuando no limitan la frecuencia con la que alguien puede acceder a ellas. Una función sin controlar puede convertirse en una vía para la recopilación masiva de datos.

7 pasos que puedes seguir para mantener seguros tus datos de WhatsApp

Si tu número de teléfono acaba en uno de estos recopiladores masivos, no podrás recuperarlo, pero puedes asegurarte de que sea mucho menos útil para cualquiera que intente atacarte. A continuación te indicamos algunos pasos que te ayudarán a mantenerte más seguro.

1) Utiliza la autenticación de dos factores.

Activa la autenticación de dos factores (2FA) para WhatsApp y todas tus otras cuentas importantes. Aunque alguien tenga tu número, no podrá acceder sin ese segundo paso de verificación. También te protege de los intentos de intercambio de SIM, ya que los ladrones no pueden acceder a tus cuentas solo con una contraseña.

Mujer enviando mensajes de texto con tu smartphone.

Un sencillo script automatizado extrajo datos telefónicos a gran escala sin activar alertas. (eyecraveGetty Images)

2) Usa un gestor de contraseñas.

Un gestor de contraseñas mantiene cada inicio de sesión único. Si los atacantes intentan combinar tu número recopilado con ataques de relleno de credenciales, las contraseñas reutilizadas no les permitirán ganar fácilmente. Las contraseñas fuertes y aleatorias bloquean toda una categoría de ataques automatizados.

A continuación, comprueba si tu correo electrónico se ha visto afectado por alguna filtración anterior. Nuestro gestor de contraseñas favorito incluye un escáner de filtraciones integrado que comprueba si tu dirección de correo electrónico o tus contraseñas han aparecido en filtraciones conocidas. Si encuentras alguna coincidencia, cambia inmediatamente cualquier contraseña reutilizada y protege esas cuentas con credenciales nuevas y únicas.

Echa un vistazo a los mejores gestores de contraseñas evaluados por expertos en 2025 en Cyberguy.com.

3) Elimina tus datos de las bases de datos públicas.

Siempre que sea posible, excluye tu información de los corredores de datos y los sitios web de búsqueda de personas. Cuanta menos información pública puedan vincular los atacantes a tu número, más difícil les resultará crear mensajes de phishing convincentes o estafas basadas en la identidad.

Aunque ningún servicio puede garantizar la eliminación completa de tus datos de Internet, un servicio de eliminación de datos es realmente una opción inteligente. No son baratos, pero tampoco lo es tu privacidad. Estos servicios hacen todo el trabajo por ti, supervisando activamente y borrando sistemáticamente tu información personal de cientos de sitios web. Es lo que me da tranquilidad y ha demostrado ser la forma más eficaz de borrar tus datos personales de Internet. Al limitar la información disponible, reduces el riesgo de que los estafadores crucen los datos de las filtraciones con la información que puedan encontrar en la web oscura, lo que les dificulta atacarte.

¿EL NÚMERO DE TELÉFONO DE TU AMIGO ESTÁ EN PELIGRO? AQUÍ TIENES LO QUE DEBES BUSCAR

Echa un vistazo a mis mejores opciones de servicios de eliminación de datos y obtén un análisis gratuito para averiguar si tu información personal ya está en la web visitando Cyberguy.com.

Realiza un análisis gratuito para averiguar si tu información personal ya está en la web: Cyberguy.com.

4) Limita lo que compartes en la biografía de tu perfil.

Mantén el texto «Acerca de» de WhatsApp al mínimo. Evita detalles como cargos laborales, ciudades natales o enlaces a otras cuentas. Los números de teléfono recopilados suelen combinarse con biografías visibles públicamente para crear perfiles más completos con fines fraudulentos.

5) Refuerza tu configuración de privacidad.

Ajusta quién puede ver tu foto de perfil, tu última conexión y tu estado. Si seleccionas «Solo contactos» o «Nadie», evitarás que desconocidos obtengan más información personal una vez que tengan tu número. Para reforzar la configuración de privacidad de WhatsApp en iPhone o Android, sigue estos pasos:

  • Abre WhatsApp en tu teléfono.
  • Ve a Ajustes: en el iPhone, pulsa elicono de engranaje «Ajustes» situado en la parte inferior derecha. En Android, pulsa los tres puntos verticales situados en la esquina superior derecha y, a continuación, selecciona «Ajustes».
  • Toca «Cuenta».
  • Toca «Privacidad».
  • Ajusta las opciones de privacidad a continuación para controlar quién puede ver tu información personal:
  • Última vez visto y en línea: Toca«Última vez visto y en línea» y selecciona «Mis contactos» o«Nadie» para restringir quién puede ver tu último estado de actividad.
  • Foto de perfil: Toca«Foto de perfil» y selecciona«Mis contactos» o «Nadie» para evitar que desconocidos vean tu foto de perfil.
  • Acerca de: Toca «Acerca de» y selecciona «Mis contactos» o «Nadie» para limitar quién puede ver tu información «Acerca de».
  • Estado: Toca «Estado» y, a continuación, selecciona«Mis contactos », «Mis contactos excepto...» o«Solo compartir con...» para controlar quién puede ver tus actualizaciones de estado.

Estos cambios evitan que personas que no están en tus contactos o desconocidos puedan obtener datos personales de tu perfil de WhatsApp, lo que mejora tu privacidad de forma eficaz tanto en dispositivos iPhone como Android.

Una foto tomada desde un ángulo bajo que muestra la pantalla de un iPhone con los iconos del teléfono y de Whatsapp visibles.

Debido a que el sistema carecía de una limitación de velocidad adecuada, el rastreo continuó sin ser detectado durante meses. (Kurt Knutsson)

6) Instala un software antivirus potente.

Muchas campañas de phishing y malware comienzan con números recopilados. Un buen software antivirus puede bloquear enlaces maliciosos, detectar descargas dañinas y avisarte cuando algo parece sospechoso.

La mejor manera de protegerte de los enlaces maliciosos que instalan malware y que podrían acceder a tu información privada es instalar un software antivirus potente en todos tus dispositivos. Esta protección también puede alertarte sobre correos electrónicos de phishing y estafas de ransomware, manteniendo a salvo tu información personal y tus activos digitales.

Descubre mi selección de los mejores antivirus de 2025 para tus dispositivos Windows, Mac, Android e iOS en Cyberguy.com.

7) Ten cuidado con las llamadas y los mensajes desconocidos.

Trata los mensajes inesperados con más recelo. No hagas clic en enlaces, no compartas contraseñas de un solo uso (OTP) y no respondas a nadie que te pida códigos de verificación. Una vez que obtienen los números, los estafadores intensifican los intentos de spam y suplantación de identidad.

Conclusión principal de Kurt

WhatsApp puede haber solucionado el problema, pero el problema mayor sigue ahí. Cualquier plataforma que exponga una API sin los límites de velocidad adecuados está dejando una ventana abierta para alguien con las herramientas adecuadas y el tiempo suficiente. Este rastreo te muestra lo rápido que esa ventana puede convertirse en una fuente inagotable de datos personales. Hasta que la seguridad de las API se convierta en una prioridad generalizada, seguirás viendo fugas como esta repetirse a escalas cada vez mayores.

¿Crees que las aplicaciones deberían estar obligadas por ley a aplicar límites estrictos a las API? Cuéntanoslo escribiéndonos a Cyberguy.com.

HAZ CLIC AQUÍ PARA DESCARGAR LA APP DE FOX NEWS

Suscríbase a mi informe gratuito CyberGuy Report
Reciba mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas directamente en tu bandeja de entrada. Además, obtendrá acceso instantáneo a mi Ultimate Scam Survival Guide (Guía definitiva para sobrevivir a las estafas), gratis al unirse a mi CYBERGUY.COM

Copyright 2025 CyberGuy.com. Todos los derechos reservados.

Kurt «CyberGuy» Knutsson es un galardonado periodista tecnológico que siente un profundo amor por la tecnología, los dispositivos y los gadgets que mejoran la vida, y que colabora con Fox News FOX Business la mañana en el programaFOX & Friends». ¿Tienes alguna pregunta sobre tecnología? Suscríbete al boletín gratuito CyberGuy Newsletter de Kurt y comparte tu opinión, ideas para artículos o comentarios en CyberGuy.com.

Close modal

Continúa en