¿Es seguro usar WhatsApp?

Una nueva demanda(nueva ventana) vuelve a poner la seguridad de WhatsApp bajo el foco. Attaullah Baig, el ex jefe de seguridad de la aplicación, alega que Meta ignoró fallos críticos que permiten a cientos de empleados acceder a datos confidenciales de usuarios y no detuvo los hackeos masivos de cuentas. Meta niega las afirmaciones, pero para los 3 mil millones de usuarios de WhatsApp(nueva ventana), la pregunta es la misma: ¿Es realmente seguro usar WhatsApp?

• ¿Es WhatsApp seguro para chats privados?
• ¿Por qué están demandando a Meta por preocupaciones de privacidad de WhatsApp?
• ¿Cuáles son los riesgos de seguridad y privacidad de WhatsApp?
  • Malware y spyware
  • Exploits de cero clics
  • Intercambio de SIM y estafas de códigos de verificación
  • Metadatos expuestos
  • Exposición masiva de 3.5 mil millones de números de teléfono de WhatsApp
  • Anuncios dirigidos en todas las plataformas de Meta
  • Entrenamiento de Meta AI
• Cómo mantenerse seguro en WhatsApp
• Elija una aplicación de mensajería instantánea más privada

¿Es WhatsApp seguro para chats privados?

A pesar de las afirmaciones de la demanda, el cifrado de extremo a extremo (E2EE) de WhatsApp permanece intacto. Nada sugiere que el protocolo de cifrado de WhatsApp se haya roto o que Meta pueda leer el contenido de sus conversaciones. Eso significa que sus textos, fotos y llamadas de voz aún están protegidos del acceso externo, incluido el propio Meta.

Sin embargo, WhatsApp puede leer sus metadatos (con quién está hablando, cuándo, etc.) y, dependiendo de dónde viva, comparte esos datos con Meta. Por lo tanto, su seguridad depende de cuánta información desea mantener privada.

¿Por qué están demandando a Meta por preocupaciones de privacidad de WhatsApp?

Attaullah Baig, quien dirigió el equipo de seguridad de WhatsApp entre 2021 y 2025, dice que la aplicación no es tan privada como afirma Meta. En su demanda, alega que aproximadamente 1,500 empleados tienen acceso a información confidencial del usuario, incluida la ubicación, fotos de perfil, membresías de grupos y listas de contactos.

Si estas afirmaciones son ciertas, aclararían la posición de WhatsApp sobre el cifrado de extremo a extremo(nueva ventana): Sus mensajes son privados, pero su ubicación, fotos de perfil, membresías de grupos y listas de contactos están disponibles. Ese tipo de acceso sin restricciones abre la puerta a amenazas internas y filtraciones de datos, donde la información confidencial podría ser robada y vendida en la dark web.

El ex jefe de seguridad argumenta que este nivel de acceso también puede violar una orden vinculante del gobierno de EE. UU. que obligó a Meta (entonces Facebook) a pagar una multa récord de $5 mil millones en 2020(nueva ventana) después del escándalo de Cambridge Analytica.

También alega que la compañía ignoró más de 100,000 tomas de control de cuentas diarias y rechazó sus correcciones propuestas. Según la demanda, cuando Baig planteó estas preocupaciones al liderazgo superior, incluido Mark Zuckerberg, Meta lo despidió.

Meta ha negado las afirmaciones de Baig y culpó de su despido al bajo rendimiento. Las acusaciones también han atraído la atención política, con senadores presionando a Zuckerberg(nueva ventana) para obtener respuestas sobre las prácticas de seguridad de WhatsApp.

La demanda de Baig llega solo unos días después de que un grupo de seis empleados actuales y anteriores de Meta(nueva ventana) afirmaran que la compañía encubrió evidencia de niños expuestos a acoso, hostigamiento y violencia en sus plataformas de realidad virtual. Meta también negó esas afirmaciones.

¿Cuáles son los riesgos de seguridad y privacidad de WhatsApp?

Con el manejo de los datos de usuario de WhatsApp bajo el foco, estos son los riesgos de seguridad y privacidad que puede enfrentar al usar esta aplicación:

Malware y spyware

Las aplicaciones o enlaces maliciosos pueden instalar spyware en su teléfono, permitiendo a los atacantes interceptar mensajes o códigos. Un ejemplo es PixPirate(nueva ventana), un malware de Android detectado por primera vez en Brasil, donde atacó el sistema de pago instantáneo del país, Pix. Desde entonces se ha observado en India, México e Italia. Su objetivo es robar credenciales bancarias, interceptar códigos de autenticación de dos factores (2FA), iniciar transferencias Pix no autorizadas desde la cuenta de una víctima y bloquear intentos de desinstalarlo o desactivar Google Play Protect.

Los atacantes han usado WhatsApp para propagar PixPirate. Si el malware no detecta WhatsApp en el dispositivo(nueva ventana), lo descargará para enviar más enlaces maliciosos a los contactos.

Exploits de cero clics

En 2025, los investigadores descubrieron un ataque de cero clics que permitía a los hackers irrumpir en iPhones y Macs a través de WhatsApp(nueva ventana) sin que los usuarios hicieran clic en nada. El exploit combinaba dos fallos: uno en cómo macOS e iOS procesaban las imágenes y otro en la función de vinculación de dispositivos de WhatsApp.

Los ciberdelincuentes podían entregar spyware a los usuarios de Apple a través de mensajes de WhatsApp y robar datos de sus dispositivos, incluidos los mensajes. Meta dijo que menos de 200 usuarios se vieron afectados, y tanto Apple como WhatsApp han parcheado las vulnerabilidades desde entonces.

En el mismo año, una vulnerabilidad separada de cero clics afectó a los dispositivos Samsung (CVE-2025-21042(nueva ventana)). Los atacantes podían comprometer los teléfonos Galaxy enviando un archivo de imagen malicioso, y no se requiere interacción. Este exploit se utilizó en campañas de spyware dirigidas hasta que Samsung parcheó el problema en su actualización de seguridad de abril de 2025.

Intercambio de SIM y estafas de códigos de verificación

Los atacantes pueden engañar a su operador móvil para que transfiera su número de teléfono a una nueva tarjeta SIM que ellos controlan. Luego pueden estafarlo para que comparta el código de seis dígitos que WhatsApp envía por SMS al configurar un nuevo dispositivo. Si lo entrega, los malos actores pueden secuestrar su cuenta, bloquearle el acceso, robar su identidad y usar su perfil para estafar a sus contactos. La policía de Southwark, Londres, informó de un aumento de estos ataques en 2021(nueva ventana), advirtiendo a las personas que nunca compartan sus códigos de WhatsApp.

Metadatos expuestos

Los chats pueden estar cifrados de extremo a extremo, pero WhatsApp (y su empresa matriz Meta) aún recopila metadatos, como con quién habla, con qué frecuencia, los detalles de su dispositivo y la ubicación. Los metadatos no se pueden usar para identificarlo directamente, pero se pueden cruzar con otra información para volver a identificarlo(nueva ventana). Y debido a que Meta tiene su sede en los EE. UU., puede compartir todo lo que sabe sobre usted con el gobierno de los EE. UU. sin previo aviso.

Exposición masiva de 3.5 mil millones de números de teléfono de WhatsApp

En 2025, un grupo de investigadores austriacos independientes descubrió(nueva ventana) un fallo de privacidad en WhatsApp que les permitió recuperar 3.5 mil millones de números de teléfono, junto con fotos de perfil, detalles del dispositivo, marcas de tiempo, texto “acerca de” e información comercial, utilizando un método de enumeración de teléfonos fácilmente reproducible. La misma vulnerabilidad se informó por primera vez en 2017, pero Meta no la abordó. Es importante destacar que no se ha informado públicamente de ninguna vulneración de datos de WhatsApp confirmada que haya explotado este método específico.

Aunque su número de teléfono y metadatos no lo identifican directamente, pueden coincidir con otros datos para revelar quién es usted. Tal vez reutilice la misma foto de perfil en plataformas sociales, o haya sido parte de vulneraciones de datos pasadas donde sus correos electrónicos, nombres de usuario o ubicación quedaron expuestos, todo lo cual puede vincularse a sus metadatos de WhatsApp.

Los investigadores también obtuvieron las claves públicas utilizadas para el cifrado de extremo a extremo de WhatsApp y encontraron problemas graves, incluidas claves de cifrado que se reutilizaban cientos de veces en diferentes cuentas, y pre-claves de un solo uso que aparecían repetidamente a pesar de que están diseñadas para generarse de nuevo para cada sesión.

Estos problemas de seguridad sugieren el uso de clientes de WhatsApp no oficiales o fraudulentos con cifrado roto. Si usa estas aplicaciones modificadas, sus mensajes pueden ser vulnerables a la interceptación, el descifrado o la suplantación de cuenta.

Meta dijo que había solucionado el problema de enumeración, restó importancia a la sensibilidad de los datos expuestos y no abordó los problemas de clave pública o el hecho de que se le había advertido sobre este fallo importante casi una década antes.

Anuncios dirigidos en todas las plataformas de Meta

WhatsApp dice que no usa el contenido del mensaje para anuncios(nueva ventana), pero usa otros datos, como información de la cuenta (código de país, edad), información del dispositivo (idioma, ubicación) y actividad en Estados y Canales (qué ve, sigue o hace clic). Debido a que WhatsApp es parte de Meta, estos datos se pueden compartir a través de Facebook e Instagram, aunque este intercambio de datos está limitado en Europa gracias al GDPR.

Desde que WhatsApp cambió su política de privacidad en 2021, también ha compartido datos de pago y transacciones que puede haber tenido con empresas con Meta (entonces Facebook). Si conecta WhatsApp al Centro de cuentas de Meta, sus preferencias publicitarias se unifican, lo que significa que las acciones en WhatsApp pueden influir en los anuncios que ve en otros lugares. Y con las nuevas funciones impulsadas por Meta AI, el intercambio de datos entre plataformas plantea aún más preocupaciones.

Entrenamiento de Meta AI

Meta AI está incrustado en WhatsApp, Facebook e Instagram, lo que alimenta las preocupaciones sobre cómo se procesan, utilizan para el entrenamiento de IA y comparten los datos en estas plataformas.

En WhatsApp, Meta dice que Meta AI no accede a sus chats privados cifrados de extremo a extremo. Sin embargo, las indicaciones y los comentarios que comparte con Meta AI pueden almacenarse y usarse para mejorar sus modelos. WhatsApp también ofrece una función de resumen de conversación que se basa en el “procesamiento privado”(nueva ventana), que Meta afirma evita que la empresa o cualquier otra persona lea los resúmenes.

Incluso con estas garantías, persisten las preocupaciones sobre cuánto control tienen realmente las personas sobre sus datos. Por ejemplo, los usuarios de Facebook han informado que Meta AI activó ajustes que le permitían escanear fotos no publicadas de su galería sin su consentimiento.

Cómo mantenerse seguro en WhatsApp

Esto es lo que puede hacer para mejorar su privacidad y seguridad al usar WhatsApp:

• Utilice siempre las aplicaciones oficiales de WhatsApp de la App Store o Google Play para garantizar que su cifrado de extremo a extremo funcione correctamente.
• Active las notificaciones de seguridad en su teléfono para recibir alertas cuando un contacto reinstale WhatsApp, cambie de teléfono o agregue o elimine un dispositivo vinculado.
• Cree una Clave de acceso para poder iniciar sesión en WhatsApp con su rostro, huella digital o bloqueo de pantalla. Esto evita que alguien más inicie sesión incluso si obtiene su código SMS.
• Agregue una dirección de correo electrónico para verificar o recuperar su cuenta si se le bloquea el acceso. Asegúrese de que su correo electrónico esté protegido con una contraseña segura y autenticación de dos factores.
• Active las copias de seguridad cifradas de extremo a extremo para proteger sus chats en iCloud o Google Drive para que ni siquiera Apple, Google o Meta puedan leerlos. WhatsApp no le permite elegir un proveedor de almacenamiento en la nube. De lo contrario, debe desactivar por completo las copias de seguridad de chat.
• Nunca comparta su código de verificación de seis dígitos con nadie. WhatsApp y Meta nunca se lo pedirán.
• Pídale a su operador móvil que agregue un PIN o frase de contraseña antes de que su número se pueda mover a otra tarjeta SIM. Esto hace que el intercambio de SIM sea mucho más difícil.
• Solo descargue WhatsApp de Google Play o App Store y manténgalo, así como a su sistema operativo móvil y de escritorio, actualizado a la última versión.
• Nunca haga clic en enlaces ni instale aplicaciones de contactos de WhatsApp desconocidos o sospechosos. Si no está seguro acerca de un contacto, comuníquese con él utilizando otro método para confirmar su identidad.
• Asegure sus (nueva ventana)ajustes de privacidad de WhatsApp(nueva ventana) limitando quién puede agregarlo a grupos y ver su foto de perfil, última vez visto y estado en línea, sección de información y enlaces en su perfil.
• No puede desactivar por completo Meta AI en WhatsApp, pero puede tomar medidas para evitar que aprenda demasiado de su actividad y proteger sus mensajes para que no terminen en datos de entrenamiento de IA.

Elija una aplicación de mensajería instantánea más privada

Aunque puede tomar medidas para mejorar su seguridad y limitar lo que otros usuarios de WhatsApp pueden ver, esto no cambia el hecho de que Meta todavía depende de la recopilación de información del usuario, como metadatos, para obtener ingresos. Si las afirmaciones recientes de los denunciantes son precisas, ese acceso puede ser incluso más amplio de lo que admite la compañía. Dada la historia de violaciones de privacidad de Meta, cierto escepticismo está justificado.

Si le preocupa este nivel de control, considere una alternativa más privada a WhatsApp que recopile muchos menos datos y no esté vinculada a una gran empresa tecnológica multada por los reguladores por su modelo publicitario de pago o consentimiento.