Los investigadores compilaron una lista de 3.500 millones de números de teléfonos móviles de WhatsApp e información personal asociada abusando de una API de descubrimiento de contactos que carecía de limitación de velocidad.
El equipo informó el problema a WhatsApp y desde entonces la compañía agregó protecciones de limitación de velocidad para evitar abusos similares.
Si bien este estudio fue realizado por investigadores que no han publicado los datos, ilustra una táctica común utilizada por los actores de amenazas para extraer información del usuario de API desprotegidas y expuestas públicamente.
Abusar de la API de WhatsApp
Los investigadores de la Universidad de Viena y SBA Research utilizaron la función de descubrimiento de contactos de WhatsApp, que permite enviar un número de teléfono a la plataforma. GetDeviceList Punto final API para determinar si un número de teléfono está asociado con una cuenta y qué dispositivos se utilizaron.
Sin una limitación estricta de la velocidad, se puede abusar de API como esta para realizar enumeraciones a gran escala en una plataforma.
Los investigadores descubrieron que este era el caso de WhatsApp, ya que podían enviar un gran volumen de consultas directamente a los servidores de WhatsApp, verificando más de 100 millones de números por hora.
Ejecutaron toda la operación desde un único servidor universitario utilizando solo cinco sesiones autenticadas, inicialmente esperando que WhatsApp los detectara. Sin embargo, la plataforma nunca bloqueó las cuentas, nunca limitó su tráfico, nunca restringió su dirección IP y nunca se acercó a pesar de toda la actividad abusiva proveniente de un dispositivo.
Luego, los investigadores generaron un conjunto global de 63 mil millones de números móviles potenciales y los probaron todos con la API. Sus consultas arrojaron 3.500 millones de cuentas activas de WhatsApp.
Los resultados también brindaron una instantánea previamente desconocida de cómo se usa WhatsApp a nivel mundial, mostrando dónde se usa más la plataforma:
- India: 749 millones
- Indonesia: 235 millones
- Brasil: 206 millones
- Estados Unidos: 138 millones
- Rusia: 133 millones
- México: 128 millones
También se identificaron millones de cuentas activas dentro de países donde WhatsApp estaba prohibido en ese momento, incluidos China, Irán, Corea del Norte y Myanmar. En Irán, el uso siguió creciendo cuando se levantó la prohibición en diciembre de 2024.
Además de confirmar si se utilizó un número de teléfono en WhatsApp, los investigadores utilizaron otros puntos finales API para enumerar información adicional sobre los usuarios, incluido el GetUserInfo, GetPrekeysy FetchPicture.
Utilizando estas API adicionales, los investigadores pudieron recopilar fotos de perfil, texto «acerca de» e información sobre otros dispositivos asociados con un número de teléfono de WhatsApp.
Una prueba de números estadounidenses descargó 77 millones de fotos de perfil sin ningún límite de velocidad, muchas de las cuales mostraban rostros identificables. Si el texto público «acerca de» estaba disponible, también revelaba detalles personales y enlaces a otras cuentas sociales.
Finalmente, cuando los investigadores compararon sus hallazgos con los Eliminación de números de teléfono de Facebook de 2021descubrieron que el 58% de los números de Facebook filtrados todavía estaban activos en WhatsApp en 2025. Los investigadores explican que las filtraciones de números de teléfono a gran escala son tan dañinas porque pueden seguir siendo útiles en otros comportamientos maliciosos durante años.
«Con 3,5 mil millones de registros (es decir, cuentas activas), analizamos un conjunto de datos que, hasta donde sabemos, se clasificaría como la fuga de datos más grande de la historia, si no se hubiera recopilado como parte de un estudio de investigación realizado de manera responsable», explica «¡Hola! Estás usando WhatsApp: enumerando tres mil millones de cuentas por seguridad y privacidad» papel.
«El conjunto de datos contiene números de teléfono, marcas de tiempo, textos, imágenes de perfil y claves públicas para el cifrado E2EE, y su publicación implicaría implicaciones adversas para los usuarios incluidos».
Otros casos maliciosos de abuso de API
La falta de limitación de velocidad de WhatsApp para sus API es ilustrativa de un problema generalizado en las plataformas en línea, donde las API están diseñadas para facilitar el intercambio de información y la realización de tareas, pero también se convierten en vectores para el scraping a gran escala.
En 2021, los actores de amenazas explotaron un error en la función «Agregar amigo» de Facebook que les permitía cargar listas de contactos desde un teléfono y verificar si esos contactos estaban en la plataforma. Sin embargo, esta API tampoco limitó adecuadamente las solicitudes, lo que permitió a los actores de amenazas crear perfiles para 533 millones de usuarios que incluían sus números de teléfono, ID de Facebook, nombres y géneros.
Meta luego confirmado que los datos provienen del scraping automatizado de una API que carecía de las salvaguardias adecuadas, con la Comisión Irlandesa de Protección de Datos (DPC) Multa a Meta con 265 millones de euros por la filtración.
Gorjeo enfrentó un problema similar cuando los atacantes explotaron una vulnerabilidad de API para hacer coincidir números de teléfono y direcciones de correo electrónico con 54 millones de cuentas.
Dell reveló que 49 millones de registros de clientes fueron eliminados después de que los atacantes abusó de un punto final API desprotegido.
Todos estos incidentes, incluido el de WhatsApp, son causados por API que realizan búsquedas de cuentas o datos sin límites de velocidad adecuados, lo que los convierte en objetivos fáciles para una enumeración a gran escala.
¡Es temporada de presupuesto! Más de 300 CISO y líderes de seguridad han compartido cómo planifican, gastan y priorizan para el próximo año. Este informe recopila sus conocimientos, lo que permite a los lectores comparar estrategias, identificar tendencias emergentes y comparar sus prioridades de cara al 2026.
Descubra cómo los principales líderes están convirtiendo la inversión en un impacto mensurable.
