mié. Jun 3rd, 2026
Pantalla con código binario y logo de WhatsApp simbolizando la filtración masiva de 500 millones de datos en la dark web

“Fuga masiva de datos: 500 millones de usuarios de WhatsApp en riesgo por brecha sin precedentes”

By masterfoco 2 meses ago

Alerta global: Una filtración sin precedentes expone datos personales de medio billón de usuarios de WhatsApp en la dark web.

Una base de datos con información confidencial de más de 500 millones de usuarios de WhatsApp —incluyendo números de teléfono, nombres, fotos de perfil y, en algunos casos, ubicaciones— ha sido publicada en un foro de la dark web y puesta a la venta por US$80.000. El hallazgo, confirmado por expertos en ciberseguridad, representa la mayor brecha de datos en la historia de la mensajería instantánea y ha encendido las alarmas en gobiernos, empresas y usuarios a nivel mundial.

La filtración, detectada inicialmente por el analista de amenazas Alon Gal —cofundador de la firma de inteligencia Hudson Rock—, incluye registros de usuarios en 84 países, con un impacto especialmente grave en Italia (35 millones de afectados), Estados Unidos (32 millones) y Egipto (20 millones). Según Gal, los datos fueron “robados en 2022 mediante técnicas de scraping masivo”, aunque su difusión pública se produjo esta semana, lo que sugiere que los ciberdelincuentes esperaron el “momento óptimo” para maximizar su beneficio económico.

'Fuga masiva de datos: 500 millones de usuarios de WhatsApp en riesgo por brecha sin precedentes'

El modus operandi detrás del ataque aprovechó una vulnerabilidad en la API de WhatsApp, que permitía extraer información de perfiles públicos sin consentimiento. Aunque Meta (dueña de WhatsApp) parchó la falla en 2023, los datos ya habían sido exfiltrados. “Esto no es un hackeo tradicional, sino un abuso sistemático de funciones legítimas“, explicó Gal en declaraciones a Wired. La empresa, por su parte, ha minimizado el incidente alegando que “no hay evidencia de que las cuentas hayan sido comprometidas“, pero expertos independientes advierten que la exposición de números de teléfono facilita ataques de phishing, suplantación de identidad y extorsión.

El impacto potencial de esta filtración es devastador: con solo un número de teléfono, los cibercriminales pueden crear perfiles falsos en redes sociales, enviar mensajes con malware o incluso acceder a cuentas bancarias vinculadas. En países como India (donde WhatsApp tiene 400 millones de usuarios), las autoridades ya han emitido alertas urgentes. “Estamos ante un tsunami de fraudes“, declaró Rajesh Pant, coordinador de ciberseguridad del gobierno indio, quien instó a los ciudadanos a activar la verificación en dos pasos y desconfiar de mensajes sospechosos.

¿Cómo protegerse? Medidas urgentes según los expertos

Ante la magnitud del riesgo, especialistas en seguridad digital recomiendan acciones inmediatas:

  • Activar la verificación en dos pasos en WhatsApp (Ajustes > Cuenta > Verificación en dos pasos). Esto añade una capa extra de seguridad con un PIN de 6 dígitos.
  • Revisar la configuración de privacidad: limitar quién puede ver tu foto de perfil, estado y última conexión (Ajustes > Cuenta > Privacidad).
  • Evitar compartir el número de teléfono en redes sociales o sitios web no seguros. Los criminales pueden usarlo para asociarlo a otros datos filtrados.
  • Usar apps de autenticación como Google Authenticator o Authy para cuentas vinculadas al número de teléfono (bancos, redes sociales).
  • Desconfiar de mensajes inesperados, incluso de contactos conocidos. La suplantación de identidad (spoofing) es una de las tácticas más usadas tras filtraciones masivas.
Ver  Tekashi 6ix9ine y Maduro: ¿un encuentro explosivo tras las rejas?

La filtración también ha reavivado el debate sobre la recolección masiva de datos por parte de Meta. Aunque WhatsApp afirma que los mensajes están cifrados de extremo a extremo, la metadata (números, horarios de conexión, dispositivos usados) sigue siendo vulnerable. “El problema no es solo la brecha, sino el modelo de negocio basado en monetizar información personal“, criticó Max Schrems, activista de privacidad y fundador de la organización NOYB, quien ha demandado a Meta en múltiples ocasiones por violaciones al RGPD europeo.

Antecedentes: ¿Por qué esta brecha es diferente?

Esta no es la primera vez que WhatsApp enfrenta problemas de seguridad, pero su escala la hace única. En 2019, un spyware desarrollado por NSO Group (Pegasus) infectó los teléfonos de periodistas y activistas mediante llamadas perdidas. En 2021, una falla permitió a hackers tomar control de cuentas con solo enviar un mensaje de voz. Sin embargo, ninguna de estas vulnerabilidades expuso datos de 500 millones de usuarios de golpe.

Lo más preocupante es el mercado negro que ya se ha creado alrededor de estos datos. En foros como BreachForums, los delincuentes ofrecen paquetes segmentados por país o profesión (por ejemplo, “10.000 números de médicos en España“) a precios que van desde US$5.000 hasta US$20.000. “Esto no es solo un riesgo individual, sino un arma para ataques coordinados, como campañas de desinformación o fraudes masivos”, advirtió Luca Allodi, profesor de ciberseguridad en la Universidad de Eindhoven.

Reacciones globales: Gobiernos y empresas en alerta máxima

La Unión Europea ha sido una de las primeras en actuar. La Comisión Europea anunció que investigará si Meta cumplió con las obligaciones de protección de datos bajo el Reglamento General de Protección de Datos (RGPD), que establece multas de hasta 4% de los ingresos globales de una empresa (en el caso de Meta, podría superar los US$7.000 millones). “Si se confirma que hubo negligencia, las consecuencias serán severas”, declaró un portavoz de la Comisión.

En Estados Unidos, la Federal Trade Commission (FTC) también abrió una pesquisa preliminar, mientras que senadores como Elizabeth Warren exigieron a Meta “transparencia absoluta sobre cómo y cuándo ocurrió la filtración”. Por su parte, Will Cathcart, jefe de WhatsApp, publicó un comunicado en el que aseguró que la empresa está “trabajando con autoridades para mitigar el daño“, aunque evitó confirmar si notificará individualmente a los afectados.

Ver  Daniel Chong, el nombre propio de una marca en Madrid que esconde varias historias de migración

En América Latina, donde WhatsApp es la app de mensajería dominante (con más de 400 millones de usuarios), los gobiernos han reaccionado con lentitud. Solo Brasil y México han emitido alertas oficiales, mientras que en países como Argentina o Colombia, las autoridades de protección de datos aún no se han pronunciado. “Es una bomba de tiempo”, señaló Mariana Rielli, directora de la ONG Derechos Digitales, quien criticó la falta de protocolos regionales para crisis de este tipo.

¿Qué dice la ley en cada país?

La respuesta legal varía según la jurisdicción:

  • Unión Europea (RGPD): Las empresas deben notificar brechas en 72 horas o enfrentar multas millonarias. Los usuarios pueden demandar por daños y perjuicios.
  • Estados Unidos: No hay una ley federal unificada. Depende de leyes estatales como la CCPA en California, que obliga a notificar a los afectados.
  • India: La Ley de Protección de Datos Personales (2023) exige notificación en 72 horas, pero su aplicación es reciente y poco probada.
  • América Latina: Solo Brasil (LGPD) y Argentina tienen marcos robustos. En otros países, las víctimas dependen de acciones judiciales individuales.

Mientras las investigaciones avanzan, los usuarios se preguntan: ¿Es WhatsApp realmente seguro? La respuesta, según los expertos, no es sencilla. “El cifrado de extremo a extremo protege los mensajes, pero la metadata es el talón de Aquiles“, explicó Bruce Schneier, criptógrafo y autor de Data and Goliath. “Si no cambiamos cómo manejamos los datos, esto será solo el comienzo.”

Lecturas relacionadas:

  • Cómo saber si tus datos están en la dark web (y qué hacer al respecto).
  • Pegasus y WhatsApp: el spyware que espió a periodistas y activistas en 2019.
  • Guía definitiva para proteger tu privacidad en mensajería instantánea.
  • Meta frente a los reguladores: un historial de multas millonarias por privacidad.

El mercado negro de datos: cómo opera la economía criminal tras la filtración

La venta de los 500 millones de registros de WhatsApp por US$80.000 en la dark web no es un hecho aislado, sino la punta del iceberg de un mercado negro de datos personales que mueve más de US$10.000 millones al año, según estimaciones de Chainalysis. Lo distintivo de esta brecha es su escala y la segmentación con la que los ciberdelincuentes están comercializando la información: ya no se vende en bloques genéricos, sino en paquetes temáticos diseñados para maximizar el retorno de inversión de los compradores.

Un análisis de los foros donde se negocian estos datos —como BreachForums, RaidForums (clausurado en 2022 pero resurgido bajo nuevos dominios) o Exploit.in— revela que los precios varían según el perfil de las víctimas. Por ejemplo, en 2021, una base de datos con 220 millones de usuarios de Weibo (incluyendo números de teléfono y direcciones) se vendió por US$25.000, mientras que los registros de 533 millones de usuarios de Facebook filtrados en 2021 alcanzaron los US$120.000. La diferencia radica en la utilidad criminal: los datos de WhatsApp son más valiosos porque permiten ataques de ingeniería social hiperpersonalizados, como el SIM swapping (duplicación de tarjetas SIM para robar cuentas bancarias), que aumentó un 400% en 2023, según la FBI.

Ver  Justin Timberlake: el crudo video de su arresto por ebriedad que sacude las redes

Los compradores de estas bases suelen ser:

  • Grupos de phishing organizados: Adquieren números de teléfono para enviar mensajes con enlaces maliciosos. En 2022, un solo grupo en Nigeria utilizó datos filtrados de LinkedIn para estafar US$3,5 millones en seis meses, según Interpol.
  • Empresas de marketing agresivo: Aunque ilegal, algunas compañías compran estos datos para crear perfiles publicitarios. En 2020, la FTC multó a la empresa OpenElm con US$1,5 millones por usar datos robados para campañas políticas.
  • Estados-nación con capacidades de ciberespionaje: Países como Irán, Corea del Norte y Rusia han sido vinculados a la compra de bases de datos para identificar disidentes o objetivos de inteligencia. En 2019, Citizen Lab reveló que números de teléfono de activistas iraníes, obtenidos en filtraciones, fueron usados para infectarlos con Pegasus.

Lo más alarmante es la velocidad de monetización. Según un informe de IntSights (adquirida por Rapid7 en 2021), el 60% de los datos filtrados se utilizan en ataques dentro de las primeras 72 horas tras su publicación. En el caso de WhatsApp, los expertos prevén una ola de fraudes con cryptojacking (secuestro de dispositivos para minar criptomonedas) y ransomware dirigido a pymes, cuyo costo promedio por ataque superó los US$200.000 en 2023, según Sophos.

La paradoja de la “seguridad”: ¿Por qué los datos robados en 2022 valen más hoy?

El hecho de que los datos se hayan extraído en 2022 pero se vendan ahora no es casual. Los ciberdelincuentes aplican una estrategia de data aging: esperan a que la información envejezca lo suficiente para que las víctimas bajen la guardia, pero no tanto como para que pierda valor. Un estudio de la Universidad de Cambridge demostró que los números de teléfono tienen una “vida útil criminal” de 3 a 5 años, ya que la mayoría de los usuarios no los cambian con frecuencia. Además, la filtración coincide con el auge de herramientas de IA como WormGPT, que permiten automatizar ataques de phishing con mensajes indistinguibles de los legítimos. La combinación es letal: datos precisos + automatización = fraudes a escala industrial. La pregunta ya no es si habrá más víctimas, sino cuándo empezarán a notarlo.

Referencia de contenido: aquí

Categorías