Underc0de - La Casa de los Informáticos

Investigadores de la Universidad de Viena y de SBA Research han demostrado cómo una API de detección de contactos de WhatsApp, que durante años careció de una limitación de tasa (rate limiting) eficaz, permitió la enumeración masiva de hasta 3.500 millones de números de teléfono asociados a cuentas activas en la plataforma.

Aunque los datos no fueron publicados —ya que el estudio se realizó con fines académicos y bajo criterios de divulgación responsable—, el experimento pone de manifiesto una de las técnicas más comunes utilizadas por actores maliciosos para extraer información personal desde APIs públicas mal protegidas.

Este caso reabre el debate sobre la seguridad en APIs, la protección de datos personales y el riesgo de que mecanismos diseñados para facilitar la experiencia del usuario se transformen en vectores de ataque a escala global.

Abuso de la API de detección de contactos de WhatsApp

La funcionalidad de detección de contactos de WhatsApp permite a una aplicación cliente consultar si un número específico está registrado en la plataforma y qué dispositivos tiene asociados, utilizando endpoints internos como:

• GetDeviceList
• GetUserInfo
• GetPrekeys
• FetchPicture

Este mecanismo existe para facilitar la sincronización de la libreta de contactos, pero los investigadores demostraron que, debido a la ausencia de una limitación de solicitudes robusta, se podía abusar de este sistema para realizar una enumeración masiva.

Durante el experimento:

• Se lograron enviar más de 100 millones de consultas por hora.
• Todo fue operado desde un único servidor universitario.
• Solo se utilizaron cinco sesiones autenticadas.
• WhatsApp no bloqueó las cuentas, no limitó el tráfico, ni restringió la IP, a pesar del volumen anómalo.

Los investigadores generaron una base teórica de 63 mil millones de combinaciones de números móviles posibles a nivel mundial, y los consultaron contra la API. Como resultado, lograron identificar 3.500 millones de cuentas activas de WhatsApp.

Mapa global del uso de WhatsApp

El estudio permitió obtener una fotografía inédita del uso global de WhatsApp, revelando en qué países se concentra el mayor número de cuentas:

• India: 749 millones
• Indonesia: 235 millones
• Brasil: 206 millones
• Estados Unidos: 138 millones
• Rusia: 133 millones
• México: 128 millones

Además, se identificaron millones de cuentas activas en países donde WhatsApp estaba prohibido en distintos momentos, como China, Irán, Corea del Norte y Myanmar.

En el caso de Irán, los investigadores observaron que el número de usuarios siguió aumentando incluso después del levantamiento parcial del bloqueo en diciembre de 2024.

Información personal expuesta a través de la API

El abuso no se limitó a verificar si un número estaba o no registrado. Los endpoints adicionales permitieron recopilar:

• Fotos de perfil.
• Estados públicos ("sobre").
• Información de dispositivos asociados.
• Claves públicas utilizadas en el cifrado E2EE.

En un experimento concreto con números de Estados Unidos, los investigadores descargaron 77 millones de fotos de perfil sin restricciones de tasa. Muchas de estas imágenes mostraban rostros claramente identificables.

Cuando el texto público de "información" estaba disponible, también exponía:

• Datos personales.
• Descripciones laborales.
• Enlaces a redes sociales y sitios externos.

Este tipo de información puede ser usada para phishing personalizado, suplantación de identidad, campañas de ingeniería social y perfilado masivo.

Conexión con filtraciones anteriores: Facebook y más

Al comparar los resultados con la extracción masiva de números desde Facebook en 2021, los investigadores descubrieron que:

El 58% de los números expuestos en Facebook en 2021 seguían activos en WhatsApp en 2025.

Esto demuestra que las filtraciones de números telefónicos tienen un impacto a largo plazo, ya que los usuarios suelen conservar su número durante muchos años.

Casos similares incluyen:

Facebook (2021):

Se explotó su función de "Añadir amigo" para generar perfiles de 533 millones de usuarios, incluyendo números, nombres e IDs.
Meta fue multada con 265 millones de euros por la Comisión Irlandesa de Protección de Datos (DPC).

Twitter/X:

Una vulnerabilidad en su API permitió emparejar correos y teléfonos con 54 millones de cuentas.

Dell:

Los atacantes abusaron de un endpoint no protegido y extrajeron 49 millones de registros de clientes.

Todos estos incidentes comparten un patrón:
- APIs que permiten consultas masivas sin controles adecuados.

Riesgos reales del scraping y la enumeración de cuentas

El problema no es solo técnico, sino estratégico. Las bases de datos creadas mediante enumeración pueden ser utilizadas durante años para:

• Campañas de phishing masivo.
• Ataques SIM swapping.
• Estafas vía WhatsApp o SMS.
• Ingeniería social dirigida.
• Venta de datos en foros clandestinos.

Como explican los investigadores en su estudio:

Citar"Con 3.500 millones de registros, analizamos un conjunto de datos que, de haberse publicado, podría considerarse la mayor filtración de datos de la historia".

Aunque los datos no fueron liberados, el riesgo es real porque otros actores podrían replicar el ataque si existieran fallas similares.

Medidas adoptadas por WhatsApp

Tras recibir el informe, WhatsApp implementó protecciones de limitación de tasa para sus APIs, buscando bloquear este tipo de consultas a gran escala.

Sin embargo, el caso deja una lección clara para toda la industria tecnológica:

CitarLas APIs públicas deben diseñarse bajo un modelo de seguridad por defecto y no por reacción.

Una advertencia para toda la industria

El abuso de la API de WhatsApp demuestra cómo una función legí�tima, diseñada para mejorar la experiencia de usuario, puede convertirse en una herramienta de extracción masiva de datos personales si no está protegida adecuadamente.

Este incidente no solo afecta a WhatsApp, sino que sirve como advertencia para cualquier empresa que exponga interfaces públicas sin controles de:

• Rate limiting avanzado.
• Detección de comportamiento anómalo.
• Autenticación sólida.
• Monitorización activa.

La seguridad en APIs ya no es opcional: es un pilar fundamental en la protección de datos personales a escala global.

Fuente: https://www.bleepingcomputer.com/