¿Es seguro usar WhatsApp?

Una nueva demanda(ventana nueva) vuelve a poner la seguridad de WhatsApp en el punto de mira. Attaullah Baig, antiguo jefe de seguridad de la aplicación, alega que Meta ignoró fallos críticos que permiten a cientos de empleados acceder a datos confidenciales de los usuarios y no detuvo hackeos masivos de cuentas. Meta niega las acusaciones, pero para los 3000 millones de usuarios de WhatsApp(ventana nueva), la pregunta es la misma: ¿Es realmente seguro usar WhatsApp?

• ¿Es WhatsApp seguro para chats privados?
• ¿Por qué han demandado a Meta por problemas de privacidad en WhatsApp?
• ¿Cuáles son los riesgos de seguridad y privacidad de WhatsApp?
  • Malware y spyware
  • Exploits de cero clics
  • SIM swapping y estafas con códigos de verificación
  • Metadatos expuestos
  • Exposición masiva de 3500 millones de números de teléfono de WhatsApp
  • Anuncios dirigidos en todas las plataformas de Meta
  • Entrenamiento de Meta AI
• Cómo mantenerse seguro en WhatsApp
• Elige una aplicación de mensajería instantánea más privada

¿Es WhatsApp seguro para chats privados?

A pesar de las alegaciones de la demanda, el cifrado de extremo a extremo (E2EE) de WhatsApp permanece intacto. Nada sugiere que el protocolo de cifrado de WhatsApp se haya roto o que Meta pueda leer el contenido de tus conversaciones. Eso significa que tus mensajes de texto, fotos y llamadas de voz siguen protegidos del acceso externo, incluido el de la propia Meta.

Sin embargo, WhatsApp puede leer tus metadatos (con quién hablas, cuándo, etc.) y, dependiendo de dónde vivas, comparte esos datos con Meta. Por lo tanto, su seguridad depende de cuánta información quieras mantener privada.

¿Por qué han demandado a Meta por problemas de privacidad en WhatsApp?

Attaullah Baig, que dirigió el equipo de seguridad de WhatsApp entre 2021 y 2025, dice que la aplicación no es tan privada como afirma Meta. En su demanda, alega que aproximadamente 1500 empleados tienen acceso a información confidencial de los usuarios, incluida la ubicación, fotos de perfil, pertenencia a grupos y listas de contactos.

Si estas afirmaciones son ciertas, aclararían la postura de WhatsApp sobre el cifrado de extremo a extremo(ventana nueva): Tus mensajes son privados, pero tu ubicación, fotos de perfil, pertenencia a grupos y listas de contactos no lo son. Ese tipo de acceso sin restricciones abre la puerta a amenazas internas y filtraciones de datos, donde la información confidencial podría ser robada y vendida en la dark web.

El exjefe de seguridad argumenta que este nivel de acceso también podría violar una orden vinculante del gobierno de EE. UU. que obligó a Meta (entonces Facebook) a pagar una multa récord de 5000 millones de dólares en 2020(ventana nueva) tras el escándalo de Cambridge Analytica.

También alega que la empresa ignoró más de 100 000 robos de cuentas diarios y rechazó sus correcciones propuestas. Según la demanda, cuando Baig planteó estas preocupaciones a la alta dirección, incluido Mark Zuckerberg, Meta lo despidió.

Meta ha negado las afirmaciones de Baig y ha atribuido su despido a un bajo rendimiento. Las acusaciones también han atraído la atención política, con senadores presionando a Zuckerberg(ventana nueva) para obtener respuestas sobre las prácticas de seguridad de WhatsApp.

La demanda de Baig llega solo unos días después de que un grupo de seis empleados actuales y anteriores de Meta(ventana nueva) afirmara que la empresa encubrió pruebas de exposición de niños a grooming, acoso y violencia en sus plataformas de realidad virtual. Meta también negó esas acusaciones.

¿Cuáles son los riesgos de seguridad y privacidad de WhatsApp?

Con el manejo de los datos de usuario por parte de WhatsApp en el punto de mira, aquí tienes los riesgos de seguridad y privacidad a los que puedes enfrentarte al usar esta aplicación:

Malware y spyware

Las aplicaciones o enlaces maliciosos pueden instalar spyware en tu teléfono, permitiendo a los atacantes interceptar mensajes o códigos. Un ejemplo es PixPirate(ventana nueva), un malware de Android detectado por primera vez en Brasil, donde atacaba el sistema de pago instantáneo del país, Pix. Desde entonces se ha observado en India, México e Italia. Su objetivo es robar credenciales bancarias, interceptar códigos de autenticación de dos factores (2FA), iniciar transferencias Pix no autorizadas desde la cuenta de la víctima y bloquear los intentos de desinstalarlo o desactivar Google Play Protect.

Los atacantes han utilizado WhatsApp para difundir PixPirate. Si el malware no detecta WhatsApp en el dispositivo(ventana nueva), lo descargará para enviar más enlaces maliciosos a los contactos.

Exploits de cero clics

En 2025, los investigadores descubrieron un ataque de cero clics que permitía a los hackers irrumpir en iPhones y Macs a través de WhatsApp(ventana nueva) sin que los usuarios hicieran clic en nada. El exploit combinaba dos fallos: uno en cómo macOS e iOS procesaban las imágenes y otro en la función de vinculación de dispositivos de WhatsApp.

Los ciberdelincuentes podían enviar spyware a los usuarios de Apple a través de mensajes de WhatsApp y robar datos de sus dispositivos, incluidos los mensajes. Meta dijo que afectó a menos de 200 usuarios, y tanto Apple como WhatsApp ya han parcheado las vulnerabilidades.

Ese mismo año, una vulnerabilidad de cero clics distinta afectó a dispositivos Samsung (CVE-2025-21042(ventana nueva)). Los atacantes podían comprometer teléfonos Galaxy enviando un archivo de imagen malicioso, sin necesidad de interacción. Este exploit se utilizó en campañas de spyware dirigidas hasta que Samsung solucionó el problema en su actualización de seguridad de abril de 2025.

SIM swapping y estafas con códigos de verificación

Los atacantes pueden engañar a tu operador de telefonía móvil para transferir tu número de teléfono a una nueva tarjeta SIM que ellos controlan. Luego pueden estafarte para que compartas el código de seis dígitos que WhatsApp envía por SMS al configurar un nuevo dispositivo. Si se lo das, los delincuentes pueden secuestrar tu cuenta, dejarte fuera, robar tu identidad y usar tu perfil para estafar a tus contactos. La policía de Southwark, Londres, informó de un aumento de estos ataques en 2021(ventana nueva), advirtiendo a la gente que nunca comparta sus códigos de WhatsApp.

Metadatos expuestos

Los chats pueden estar cifrados de extremo a extremo, pero WhatsApp (y su empresa matriz Meta) sigue recopilando metadatos, como con quién hablas, con qué frecuencia, los detalles de tu dispositivo y tu ubicación. Los metadatos no pueden usarse para identificarte directamente, pero pueden cruzarse con otra información para reidentificarte(ventana nueva). Y como Meta tiene su sede en EE. UU., puede compartir todo lo que sabe sobre ti con el gobierno de EE. UU. sin previo aviso.

Exposición masiva de 3500 millones de números de teléfono de WhatsApp

En 2025, un grupo de investigadores austriacos independientes descubrió(ventana nueva) un fallo de privacidad en WhatsApp que les permitió recuperar 3500 millones de números de teléfono (junto con fotos de perfil, detalles del dispositivo, marcas de tiempo, texto “info” e información comercial) utilizando un método de enumeración de teléfonos fácilmente reproducible. La misma vulnerabilidad se reportó por primera vez en 2017, pero Meta no la solucionó. Es importante destacar que no se ha informado públicamente de ninguna vulneración de datos confirmada de WhatsApp que haya explotado este método específico.

Aunque tu número de teléfono y metadatos no te identifican directamente, pueden cruzarse con otros datos para revelar quién eres. Tal vez reutilices la misma foto de perfil en plataformas sociales, o hayas formado parte de vulneraciones de datos pasadas donde tus correos electrónicos, nombres de usuario o ubicación quedaron expuestos; todo ello puede vincularse a tus metadatos de WhatsApp.

Los investigadores también obtuvieron las claves públicas utilizadas para el cifrado de extremo a extremo de WhatsApp y encontraron problemas graves, incluidas claves de cifrado que se reutilizaban cientos de veces en diferentes cuentas, y preclaves de un solo uso que aparecían repetidamente a pesar de estar diseñadas para generarse de nuevo en cada sesión.

Estos problemas de seguridad sugieren el uso de clientes de WhatsApp no oficiales o fraudulentos con cifrado roto. Si usas estas aplicaciones modificadas, tus mensajes pueden ser vulnerables a la interceptación, el descifrado o la suplantación de cuenta.

Meta dijo que había solucionado el problema de enumeración, restó importancia a la sensibilidad de los datos expuestos y no abordó los problemas de clave pública ni el hecho de que había sido advertida sobre este fallo importante casi una década antes.

Anuncios dirigidos en todas las plataformas de Meta

WhatsApp dice que no usa el contenido de los mensajes para anuncios(ventana nueva), pero sí usa otros datos, como información de la cuenta (código de país, edad), información del dispositivo (idioma, ubicación) y actividad en Estados y Canales (qué ves, sigues o en qué haces clic). Como WhatsApp es parte de Meta, estos datos pueden compartirse en Facebook e Instagram, aunque este intercambio de datos está limitado en Europa gracias al RGPD.

Desde que WhatsApp cambió su política de privacidad en 2021, también ha compartido con Meta (entonces Facebook) datos de pagos y transacciones que hayas podido tener con empresas. Si conectas WhatsApp al Centro de cuentas de Meta, tus preferencias de anuncios se unifican, lo que significa que las acciones en WhatsApp pueden influir en los anuncios que ves en otros lugares. Y con las nuevas funciones impulsadas por Meta AI, el intercambio de datos entre plataformas plantea aún más preocupaciones.

Entrenamiento de Meta AI

Meta AI está incrustado en WhatsApp, Facebook e Instagram, alimentando la preocupación sobre cómo se procesan los datos, se usan para el entrenamiento de IA y se comparten entre estas plataformas.

En WhatsApp, Meta dice que Meta AI no accede a tus chats privados cifrados de extremo a extremo. Sin embargo, las indicaciones y comentarios que compartes con Meta AI pueden almacenarse y usarse para mejorar sus modelos. WhatsApp también ofrece una función de resumen de conversaciones que se basa en el “procesamiento privado”(ventana nueva), que según Meta evita que los resúmenes sean leídos por la empresa o cualquier otra persona.

Incluso con estas garantías, sigue habiendo preocupación sobre cuánto control tiene realmente la gente sobre sus datos. Por ejemplo, los usuarios de Facebook han informado de que Meta AI activó ajustes que le permitían escanear fotos no publicadas de su carrete sin su consentimiento.

Cómo mantenerse seguro en WhatsApp

Esto es lo que puedes hacer para mejorar tu privacidad y seguridad al usar WhatsApp:

• Usa siempre las aplicaciones oficiales de WhatsApp de la App Store o Google Play para asegurar que tu cifrado de extremo a extremo funcione correctamente.
• Activa las notificaciones de seguridad en tu teléfono para recibir alertas cuando un contacto reinstale WhatsApp, cambie de teléfono o añada o elimine un dispositivo vinculado.
• Crea una llave de acceso para poder iniciar sesión en WhatsApp con tu cara, huella digital o bloqueo de pantalla. Esto evita que otra persona inicie sesión aunque obtenga tu código SMS.
• Añade una dirección de correo electrónico para verificar o recuperar tu cuenta si te quedas fuera. Asegúrate de que tu propio correo electrónico esté protegido con una contraseña segura y autenticación de dos factores.
• Activa las copias de seguridad cifradas de extremo a extremo para proteger tus chats en iCloud o Google Drive para que ni Apple, ni Google, ni Meta puedan leerlos. WhatsApp no te permite elegir un proveedor de almacenamiento en la nube. De lo contrario, deberías desactivar las copias de seguridad de chat por completo.
• Nunca compartas tu código de verificación de seis dígitos con nadie. WhatsApp y Meta nunca te lo pedirán.
• Pide a tu operador de telefonía móvil que añada un PIN o frase de contraseña antes de que tu número pueda trasladarse a otra tarjeta SIM. Esto hace que el SIM swapping sea mucho más difícil.
• Descarga WhatsApp solo desde Google Play o App Store y mantenlo (y a tu sistema operativo móvil y de escritorio) actualizado a la última versión.
• Nunca hagas clic en enlaces ni instales aplicaciones de contactos de WhatsApp desconocidos o sospechosos. Si no estás seguro sobre un contacto, comunícate con él usando otro método para confirmar su identidad.
• Blinda tus (ventana nueva)ajustes de privacidad de WhatsApp(ventana nueva) limitando quién puede añadirte a grupos y ver tu foto de perfil, última vez visto y estado online, sección de información y enlaces en tu perfil.
• No puedes desactivar Meta AI en WhatsApp por completo, pero puedes tomar medidas para evitar que aprenda demasiado de tu actividad y proteger tus mensajes para que no terminen en los datos de entrenamiento de la IA.

Elige una aplicación de mensajería instantánea más privada

Aunque puedes tomar medidas para mejorar tu seguridad y limitar lo que otros usuarios de WhatsApp pueden ver, esto no cambia el hecho de que Meta sigue dependiendo de la recopilación de información de los usuarios, como los metadatos, para obtener ingresos. Si las afirmaciones recientes de los denunciantes son precisas, ese acceso puede ser incluso más amplio de lo que la empresa admite. Dado el historial de violaciones de privacidad de Meta, cierto escepticismo está justificado.

Si te preocupa este nivel de control, considera una alternativa a WhatsApp más privada que recopile muchos menos datos y no esté vinculada a una empresa Big Tech multada por los reguladores por su modelo de publicidad de pago o consentimiento.