· Jonathan Izquierdo · Noticias seguridad  ·

7 min de lectura

Fallo en la API de WhatsApp: investigadores extraen datos de 3.500 millones de cuentas

Investigadores de seguridad demuestran que la API de WhatsApp permite extraer números de teléfono y datos personales de miles de millones de usuarios por falta de rate limiting. Análisis forense de las implicaciones.

Investigadores de seguridad demuestran que la API de WhatsApp permite extraer números de teléfono y datos personales de miles de millones de usuarios por falta de rate limiting. Análisis forense de las implicaciones.

El 22 de noviembre de 2025, investigadores de seguridad revelaron que la API de WhatsApp carecía de controles adecuados de rate limiting, permitiendo la extracción masiva de números de teléfono y datos asociados de aproximadamente 3.500 millones de cuentas. Esta vulnerabilidad, aunque no implica el acceso a mensajes, tiene profundas implicaciones para la privacidad y la seguridad de los usuarios.

Como perito informático forense, analizo las implicaciones técnicas y legales de este fallo de seguridad.

¿Qué ocurrió exactamente?

Según los investigadores, WhatsApp no implementaba límites de velocidad (rate limiting) adecuados en ciertas funciones de su API. Esto permitía:

Capacidades de extracción demostradas

Los investigadores pudieron consultar sistemáticamente la API de WhatsApp para determinar qué números de teléfono tenían cuentas activas, obteniendo además información asociada como fotos de perfil, estados y configuraciones de privacidad visibles.

Datos expuestos en el scraping

Tipo de datoDisponibilidad
Número de teléfonoSi tiene cuenta activa
Foto de perfilSegún configuración de privacidad
Estado/BioSegún configuración de privacidad
Última conexiónSegún configuración de privacidad
Nombre de perfilSegún configuración de privacidad

Escala del problema

Los números son alarmantes:

  • 3.500 millones de cuentas potencialmente enumerables
  • Sin limitación efectiva de consultas por IP/cuenta
  • Automatizable mediante scripts simples
  • Difícil de detectar por el usuario afectado

¿Cómo funcionaba el ataque?

  1. Generación de números: El atacante genera listas de números de teléfono basándose en rangos de numeración de cada país

  2. Consulta masiva a la API: Utilizando la API de WhatsApp (o interfaces no documentadas), se consulta si cada número tiene cuenta activa

  3. Recopilación de metadatos: Para los números con cuenta, se extraen datos públicos según configuración de privacidad

  4. Correlación de datos: Los datos extraídos se combinan con otras fugas de datos para crear perfiles completos

  5. Comercialización: Las bases de datos resultantes se venden en mercados de datos o foros underground

Diferencia entre hackeo y scraping

Es importante aclarar que este incidente no es un hackeo tradicional:

HackeoScraping
Acceso no autorizado a sistemasUso intensivo de funciones públicas
Explota vulnerabilidades de códigoExplota falta de límites de uso
Accede a datos protegidosSolo obtiene datos “públicos” o enumerables
Claramente ilegalZona gris legal según jurisdicción
Matiz legal importante

Aunque el scraping no implica “hackear” en el sentido tradicional, la extracción masiva de datos personales sin consentimiento puede violar el RGPD en la UE y normativas similares en otras jurisdicciones. La legalidad depende del uso de los datos obtenidos.

Implicaciones forenses del scraping masivo

Como perito, identifico cuatro aspectos críticos para casos judiciales:

1. Correlación con otras fugas de datos

Los datos extraídos de WhatsApp se combinan frecuentemente con:

  • Fugas de Facebook: Nombre real, email, ubicación
  • Fugas de LinkedIn: Información profesional
  • Bases de datos de marketing: Historial de compras
  • Registros públicos: DNI, dirección fiscal

Esta correlación crea perfiles muy detallados que pueden usarse para:

  • Ingeniería social sofisticada
  • Suplantación de identidad
  • Ataques de phishing dirigido (spear phishing)
  • Acoso y stalking

2. Verificación de identidad comprometida

Muchas empresas usan WhatsApp para verificar identidades:

📱 Sistema de verificación típico
├── Usuario proporciona número de teléfono
├── Sistema envía SMS o mensaje WhatsApp
├── Usuario confirma recepción
└── Sistema asume que el número es real y activo

Con una base de datos de números verificados, los atacantes pueden:

  • Crear cuentas falsas con números “validados”
  • Identificar objetivos de alto valor
  • Preparar ataques dirigidos con información contextual

3. Evidencia de spear phishing

En casos de fraude donde se usó WhatsApp:

Pregunta forenseRelevancia del scraping
¿Cómo obtuvo el atacante mi número?Posiblemente de base de datos scrapeada
¿Por qué me atacaron específicamente?El perfil correlacionado reveló que era objetivo valioso
¿Cómo sabían información personal?Combinación de múltiples fugas de datos

4. Defensa en casos de suplantación

Si un cliente alega que alguien usó su número de WhatsApp maliciosamente:

  1. Verificar exposición en fugas: Comprobar si el número aparece en bases de datos filtradas conocidas

  2. Analizar patrón del ataque: ¿El atacante usó información que solo podría obtenerse via scraping?

  3. Documentar la vulnerabilidad: El informe pericial debe explicar cómo los datos pudieron ser obtenidos sin hackear directamente al cliente

  4. Establecer timeline: ¿Coincide la fecha del ataque con la disponibilidad de bases de datos scrapeadas?

Casos de uso en procedimientos judiciales

Escenario 1: Fraude del CEO vía WhatsApp

Un empleado recibe un mensaje supuestamente de su CEO solicitando una transferencia urgente:

  • El número es correcto: El atacante obtuvo el número real del CEO
  • La foto de perfil coincide: Descargada durante el scraping
  • Conoce detalles internos: Obtenidos correlacionando con LinkedIn
Argumento de defensa

El empleado actuó razonablemente creyendo que hablaba con el CEO. La sofisticación del ataque, facilitada por el scraping masivo, hace que no sea negligencia confiar en la comunicación.

Escenario 2: Acoso con información personal

Una víctima de acoso recibe mensajes con información que “solo ella conocía”:

Información usadaPosible origen
Número de teléfonoScraping WhatsApp
Nombre completoCorrelación con Facebook
Lugar de trabajoLinkedIn
Foto recienteInstagram público

El peritaje debe demostrar que esta información era accesible mediante técnicas de OSINT, sin necesidad de acceso privilegiado.

Escenario 3: Venta de bases de datos

En una investigación de cibercrimen:

  • Verificar si la base de datos vendida coincide con el patrón de scraping de WhatsApp
  • Analizar metadatos para determinar cuándo se realizó la extracción
  • Correlacionar con la actividad del sospechoso en fechas relevantes

Respuesta de Meta

Tras la revelación, Meta implementó varias medidas:

Medidas técnicas

MedidaDescripción
Rate limiting mejoradoLímites más estrictos de consultas por IP
Detección de patronesAlgoritmos para identificar comportamiento de scraping
CAPTCHAsVerificaciones adicionales ante comportamiento sospechoso
Rotación de tokensInvalidación más frecuente de sesiones API

Medidas de privacidad

WhatsApp reforzó las recomendaciones de configuración:

  1. Foto de perfil: Visible solo para contactos

  2. Info/Estado: Visible solo para contactos

  3. Última conexión: Nadie o solo contactos

  4. Grupos: Solo contactos pueden añadirte

Cómo verificar si tus datos fueron expuestos

Herramientas de verificación

  • Have I Been Pwned: Aunque no incluye específicamente esta fuga, puede mostrar si tu número aparece en correlaciones
  • Configuración de WhatsApp: Revisa qué información tienes pública
  • Búsqueda de tu número: Busca tu número en Google entre comillas

Indicadores de exposición

Podrías haber sido víctima de scraping si:

  • Recibes mensajes de phishing muy personalizados
  • Desconocidos te contactan por WhatsApp sabiendo tu nombre
  • Te añaden a grupos de spam con información específica
  • Recibes llamadas de telemarketing mencionando WhatsApp

Precedentes legales relevantes

En la Unión Europea

El RGPD establece que:

  • La extracción masiva de datos personales sin consentimiento es ilegal
  • Meta puede ser responsable por no implementar medidas técnicas adecuadas
  • Las víctimas tienen derecho a indemnización por daños derivados

En España

La AEPD ha establecido:

  • El número de teléfono es dato personal protegido
  • El scraping para fines comerciales requiere base legal
  • Las empresas deben implementar medidas de seguridad proporcionadas
Precedente importante

En 2024, la AEPD multó a una empresa por scraping de datos de redes sociales, estableciendo que el hecho de que los datos fueran “públicos” no legitima su recopilación masiva automatizada.

Preguntas frecuentes

¿Pueden leer mis mensajes con este scraping?

No. El scraping de la API solo permite enumerar cuentas y obtener metadatos públicos. Los mensajes están cifrados de extremo a extremo y no son accesibles mediante esta técnica.

¿Es lo mismo que el hackeo de 2019?

No exactamente. El incidente de 2019 involucraba una vulnerabilidad de buffer overflow que permitía instalar spyware. Este caso es extracción de datos mediante uso intensivo de funciones de la API.

¿Qué puedo hacer si mis datos fueron scrapeados?

Principalmente, reforzar la configuración de privacidad de WhatsApp y estar alerta ante intentos de phishing personalizados. Si sufres un ataque derivado, documenta todo y consulta con un profesional.

¿Meta es responsable de los ataques que sufra?

Meta es responsable de la seguridad de su plataforma, pero no directamente de los actos de terceros. Sin embargo, si se demuestra negligencia en la implementación de medidas de seguridad, podría existir responsabilidad civil.

Conclusiones para la práctica forense

El scraping masivo de WhatsApp representa un cambio de paradigma en cómo debemos analizar ataques de ingeniería social:

  1. Los atacantes tienen contexto: Ya no operan a ciegas; conocen a sus víctimas

  2. La correlación es clave: Un dato aislado de WhatsApp se vuelve peligroso al combinarlo con otras fugas

  3. Defensa de buena fe: Las víctimas de fraude sofisticado tienen argumentos sólidos de haber actuado razonablemente

  4. Responsabilidad corporativa: Las empresas tecnológicas deben implementar medidas de rate limiting adecuadas

Como perito, actualizaré mis protocolos para incluir siempre la verificación de exposición en fugas de datos y la evaluación de ataques de ingeniería social facilitados por scraping.

¿Has sido víctima de un ataque facilitado por scraping de datos?

Ofrezco análisis forense para documentar cómo los atacantes obtuvieron tu información personal y preparar informes periciales válidos en procedimientos judiciales.

Solicitar análisis forense

Fuentes consultadas:

  • Investigación de seguridad sobre rate limiting en APIs de mensajería (noviembre 2025)
  • Documentación técnica de Meta sobre medidas de protección
  • AEPD - Resoluciones sobre scraping de datos personales
  • RGPD - Artículos sobre medidas técnicas y organizativas

Sobre el autor: Jonathan Izquierdo es perito informático forense especializado en análisis de dispositivos móviles y certificación de comunicaciones digitales para procedimientos judiciales.

Última actualización: Noviembre 2025

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Noticias seguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp