¿Qué tan público es lo que creemos privado en internet? Esta pregunta suena a filosofía digital, pero tras ella late un caso concreto que sacude las bases de lo que entendemos por privacidad en las aplicaciones de mensajería. Un equipo de investigadores de la Universidad de Viena logró recopilar 3.500 millones de números de teléfono vinculados a cuentas de WhatsApp. No mediante un hackeo, ni usando malware, sino aprovechando una funcionalidad que cualquiera puede usar el enlace "Click to Chat".
Una puerta abierta sin cerradura
Imagina que puedes hablar con alguien en WhatsApp sin tener guardado su número. Solo necesitas un enlace especial que lo incluye, como si fuera una dirección web "wa.me/34600000000". Esa es la esencia del sistema "Click to Chat", pensado para empresas, vendedores o creadores de contenido que quieren facilitar el contacto. Pero detrás de esa comodidad hay un detalle técnico al usarlo, cierta información asociada al perfil queda accesible. No toda, pero sí elementos como el nombre, la foto de perfil y la confirmación de que ese número pertenece a una cuenta activa en WhatsApp.
Los investigadores no violaron servidores ni explotaron vulnerabilidades ocultas. Simplemente automatizaron el proceso. En lugar de pulsar uno a uno miles de enlaces, crearon un sistema que los consultaba a gran escala. Como si alguien caminara por una ciudad probando millones de timbres para ver cuáles tenían dueño. El dato no estaba oculto, pero la escala del acceso sí resultó inquietante.
¿Era esto una filtración? Meta, la empresa matriz de WhatsApp, lo niega rotundamente. Para ellos, no hubo exposición de información privada, porque los datos obtenidos ya estaban disponibles para quien supiera cómo buscarlos. La diferencia está en el volumen y en la intención. Lo que antes era una curiosidad aislada se convirtió en una base de datos masiva, con el potencial de ser usada para spam, ingeniería social o mapas de redes de contacto.
El juego del gato y el ratón digital
Desde hace años, las plataformas grandes viven una batalla constante contra el scraping, esas herramientas automáticas que barren páginas web para extraer datos. Google, Facebook, Twitter, todos los conocen. WhatsApp, con su cifrado de extremo a extremo, se ha presentado siempre como un refugio seguro. Pero los límites no están solo en los mensajes. Están también en el entorno en lo que se puede saber de ti sin necesidad de leer tus conversaciones.
Meta argumenta que este estudio fue parte de su programa de recompensas por errores, el Bug Bounty, donde investigadores éticos prueban los sistemas para encontrar puntos débiles. El hallazgo permitió mejorar las defensas anti-scraping en desarrollo. Y aunque los investigadores no fueron recompensados directamente, la compañía insiste en que colaboraron indirectamente con el programa.
"Esta técnica superó ciertos límites previstos para evitar enumeraciones masivas. El hallazgo permitió reforzar esas defensas de forma inmediata" - Nitin Gupta, vicepresidente de Ingeniería de WhatsApp
Pero aquí surge una pregunta incómoda si una funcionalidad disponible para todos puede usarse para mapear miles de millones de perfiles, ¿hasta qué punto es responsable permitir que exista sin controles más estrictos? La respuesta no es técnica. Es ética. Porque la privacidad no es solo un problema de cifrado, sino de diseño.
¿Dónde termina lo público?
Nos acostumbramos a pensar que si algo está visible, es público. Pero no todos los datos públicos deben ser masificables. En las redes sociales, por ejemplo, ver el perfil de un amigo no significa que una máquina pueda copiar todos los perfiles del planeta. WhatsApp, al permitir que se verifiquen números mediante URLs, abrió una rendija que, a pequeña escala, parece inofensiva. A gran escala, se convierte en un espejo inquietante uno que refleja quién está conectado, quién no, y cómo se articulan las redes humanas digitales.
Este caso no pone en duda el cifrado de extremo a extremo, que sigue blindando los mensajes. Pero sí revela una fisura en el modelo la información periférica, aparentemente inocua, puede volverse poderosa en manos automatizadas. Y si eso ocurre con números de teléfono, ¿qué pasará con otras aplicaciones que mezclan comodidad y exposición?
"Esto es engañoso – no hubo filtración de datos ni fallo de seguridad. Son resultados de una investigación académica en la que WhatsApp colaboró" - Meta Bug Bounty, en X (Twitter)
Quizá lo más revelador no sea el número de teléfonos recolectados, sino la reacción que provoca. Nos obliga a repensar lo que damos por sentado. Cada vez que compartimos un enlace de contacto, cada vez que permitimos que nuestras cuentas sean "descubribles", estamos dibujando un mapa. Y aunque no veamos quién lo está leyendo, alguien podría estar ya estudiándolo, línea a línea, número a número.