Metadatos de WhatsApp: Filtración expone hábitos y dispositivos de usuarios

En el ecosistema de la ciberseguridad moderna, existe una paradoja que mantiene en vilo a expertos y usuarios por igual: mientras el contenido de nuestras conversaciones es más privado que nunca gracias al cifrado de extremo a extremo, el rastro digital que dejamos al rededor de esas charlas es cada vez más elocuente. El reciente informe publicado por el investigador Tal Be’ery, Director de Tecnología (CTO) de Zengo, ha puesto el dedo en la llaga de una vulnerabilidad que muchos ignoraban. A través de la explotación de los metadatos de WhatsApp, un atacante no necesita descifrar un solo mensaje para conocer la marca de su teléfono, sus hábitos de sueño o su rutina diaria.

La ilusión de la privacidad: Cuando los metadatos de WhatsApp hablan más que tus palabras

Para entender la magnitud de este hallazgo, primero debemos desmitificar el concepto de seguridad en las aplicaciones de mensajería. WhatsApp utiliza el protocolo de Signal para garantizar que solo el emisor y el receptor puedan leer el contenido de un chat. Sin embargo, este blindaje no se extiende a los metadatos de WhatsApp, es decir, la “información sobre la información”.

Los metadatos incluyen detalles técnicos como las marcas de tiempo de conexión, el estado en línea, la frecuencia de las interacciones y, de manera más preocupante en esta nueva investigación, las huellas digitales de los dispositivos (device fingerprinting). Según demostró Be’ery en el marco de la conferencia Black Hat Asia 2026, un programa diseñado de forma rudimentaria (“jerry-rigged”) puede extraer perfiles de usuario completos utilizando únicamente un número de teléfono. Lo más alarmante es que el objetivo nunca recibe una notificación, ni necesita aceptar una solicitud de contacto para ser rastreado.

El mecanismo técnico: ¿Cómo se identifica un iPhone de un Android?

La investigación técnica revela que la vulnerabilidad no es un error de programación accidental, sino una consecuencia directa de las decisiones de diseño arquitectónico de Meta para permitir el uso de WhatsApp en múltiples dispositivos de forma simultánea. Cuando un usuario vincula su cuenta a una computadora, una tablet o un segundo teléfono, la plataforma genera claves criptográficas únicas para cada uno de estos nodos.

Huellas dactilares criptográficas

Be’ery descubrió que la forma en que WhatsApp gestiona estas claves varía drásticamente según el sistema operativo. Esta inconsistencia es la que permite el fingerprinting o identificación del hardware:

• Dispositivos Android: Generan un ID de mensaje aleatorio de 32 caracteres. Sus claves públicas de un solo uso (One-Time PK ID) se generan en rangos aleatorios amplios, lo que dificulta su predicción pero facilita su clasificación masiva.
• Dispositivos iOS (iPhone): Utilizan un prefijo de 20 caracteres seguido de cuatro caracteres adicionales. Lo más crítico es que los iPhones inicializan estos valores en números bajos y los incrementan de forma gradual y predecible.
• WhatsApp para Windows: Emplea un identificador persistente de 18 caracteres que lo distingue inmediatamente de las versiones móviles.

Para un atacante, esta información es oro puro. Al consultar los servidores de WhatsApp sobre las claves de sesión de un número específico (un proceso que la plataforma permite para establecer la comunicación inicial), el atacante puede determinar con precisión matemática cuántos dispositivos tiene el usuario y de qué tipo son. Saber si un objetivo usa un iPhone 15 Pro o un dispositivo Android de gama baja permite a los cibercriminales ultra-personalizar sus ataques.

Pings silenciosos: El espionaje sin dejar rastro

Otro de los pilares de la investigación de Be’ery —basada en estudios previos de investigadores austríacos en 2024— es el uso de “mensajes de capa de aplicación silenciosos”. Estos son comandos que un atacante envía a través de un cliente de WhatsApp modificado (como el protocolo de WhatsApp Web) que no disparan ninguna notificación en el teléfono de la víctima.

Por ejemplo, el atacante puede enviar una “reacción” a un mensaje que no existe o una solicitud de actualización de estado. El teléfono del receptor procesa la solicitud internamente y envía de vuelta un “recibo de entrega” al servidor. Al medir el tiempo de respuesta y la disponibilidad de estos recibos, el atacante puede mapear:

1. Ciclos de sueño: Al registrar cuándo el dispositivo deja de responder a los pings silenciosos durante la noche.
2. Rutinas de trabajo: Identificando periodos de alta actividad o desplazamientos geográficos (basados en cambios de latencia de red).
3. Ubicación aproximada: Aunque no da coordenadas GPS, la velocidad de respuesta de los servidores puede indicar si el usuario está en su país de residencia o en el extranjero.

Riesgos de seguridad nacional y el mercado del spyware

Si bien para un usuario promedio esto puede parecer una molestia menor, en el ámbito de la ciberseguridad estatal y el espionaje corporativo, las implicaciones son devastadoras. Los actores de amenazas persistentes avanzadas (APTs) y empresas de software de vigilancia como las vinculadas a los ataques de Paragon en 2025, utilizan el fingerprinting como fase de reconocimiento esencial.

Un exploit de “cero clics” (zero-click) para iOS puede costar más de un millón de dólares en el mercado negro. Ningún atacante quiere desperdiciar un recurso tan valioso enviándolo a un dispositivo Android por error, lo que alertaría a los sistemas de seguridad. Los metadatos de WhatsApp permiten a estos atacantes confirmar el sistema operativo exacto del objetivo antes de disparar el payload malicioso, asegurando una efectividad del 100% sin riesgo de detección prematura.

Discriminación económica y “Surveillance Pricing”

Más allá del malware, Be’ery advierte sobre el uso comercial de estos datos. Las empresas de marketing o servicios financieros podrían utilizar estas filtraciones para practicar el “Surveillance Pricing” o precios basados en la vigilancia. “Si sé que utilizas el último iPhone, un iPad y una Mac, puedo inferir tu nivel adquisitivo y ofrecerte un precio más alto por un seguro de vida o un vuelo, en comparación con alguien que solo utiliza un dispositivo Android económico”, explica el investigador.

La respuesta de Meta: Un juego del gato y el ratón

Tras la divulgación responsable de estos hallazgos, WhatsApp ha comenzado a implementar medidas de mitigación, aunque de manera silenciosa y, según Be’ery, un tanto errática. A finales de 2025 y principios de 2026, se observó que la plataforma empezó a aleatorizar los IDs de las claves en dispositivos Android para romper el patrón de identificación.

Sin embargo, el problema persiste en iOS y en la arquitectura de escritorio. Meta ha minimizado la gravedad del asunto, argumentando que la inferencia del sistema operativo es un riesgo de “baja severidad” que ocurre en casi cualquier plataforma de comunicación. La realidad es que, debido a que WhatsApp es una red centralizada con más de 3,000 millones de usuarios, cualquier filtración de metadatos se convierte automáticamente en una vulnerabilidad de escala global.

El equipo de Zengo ha criticado esta postura de “parchear mensaje por mensaje”. En palabras de Be’ery: “Están jugando al ‘whack-a-mole’ (golpear al topo). Están eliminando algunos tipos de pings silenciosos, pero mientras la arquitectura de claves predecibles siga ahí, la puerta permanecerá entreabierta”.

¿Cómo pueden protegerse los usuarios ante la filtración de metadatos?

Lamentablemente, como esta vulnerabilidad reside en la forma en que el protocolo de WhatsApp interactúa con los servidores, el usuario tiene un control limitado. No existe un interruptor de “apagar metadatos” en los ajustes de la aplicación. No obstante, se pueden seguir ciertas prácticas para reducir la superficie de ataque:

• Restringir la visibilidad: Configura tu “Hora de última vez” y “En línea” para que solo sean visibles para tus contactos. Aunque esto no detiene los pings técnicos, dificulta el rastreo manual de hábitos por parte de extraños.
• Desvincular dispositivos no utilizados: Revisa periódicamente la sección de “Dispositivos vinculados” en tu WhatsApp y cierra sesión en cualquier navegador o computadora que no uses frecuentemente. Esto reduce la cantidad de claves activas que un atacante puede analizar.
• Uso de VPN: Aunque no oculta el tipo de dispositivo, una VPN puede enmascarar los tiempos de respuesta de red, dificultando la inferencia de ubicación basada en latencia.
• Considerar alternativas: Para comunicaciones de altísima sensibilidad, protocolos como Signal o Matrix (Element) gestionan los metadatos de manera mucho más estricta, aunque a costa de una menor base de usuarios y menos funciones sociales.

Conclusión: El fin de la inocencia digital

La revelación de Tal Be’ery sobre los metadatos de WhatsApp sirve como un recordatorio urgente de que la privacidad no es un estado binario de “cifrado o no cifrado”. En la era de la vigilancia digital masiva, el contexto es tan importante como el contenido. La capacidad de convertir un simple número de teléfono en un perfil tecnológico y de comportamiento sin el consentimiento del usuario es un desafío que Meta debe abordar de raíz, no con parches superficiales.

Mientras WhatsApp siga siendo la infraestructura crítica de comunicación para miles de millones de personas, sus decisiones de diseño seguirán siendo el campo de batalla entre la comodidad del usuario y la seguridad nacional. Como consumidores de tecnología, nuestra misión es exigir transparencia: el cifrado de extremo a extremo es el estándar mínimo, pero la protección total contra la explotación de metadatos es la nueva frontera de la privacidad que aún está por conquistar.