É seguro utilizar o WhatsApp?

Um novo processo judicial(nova janela) coloca a segurança do WhatsApp de volta sob os holofotes. Attaullah Baig, o antigo chefe de segurança da aplicação, alega que a Meta ignorou falhas críticas que permitem a centenas de funcionários aceder a dados de utilizador sensíveis e falhou em parar os hacks de contas em massa. A Meta recusa as alegações, mas para os 3 mil milhões de utilizadores do WhatsApp(nova janela), a questão é a mesma: É realmente seguro utilizar o WhatsApp?

• O WhatsApp é seguro para chats privados?
• Por que a Meta está a ser processada por preocupações de privacidade do WhatsApp?
• Quais são os riscos de segurança e privacidade do WhatsApp?
  • Malware e spyware
  • Exploits zero-click
  • Troca de cartão SIM e esquemas de código de verificação
  • Metadados expostos
  • Exposição em massa de 3,5 mil milhões de números de telefone do WhatsApp
  • Anúncios direcionados em todas as plataformas da Meta
  • Treino da Meta AI
• Como manter-se seguro no WhatsApp
• Escolha uma aplicação de mensagens instantâneas mais privada

O WhatsApp é seguro para chats privados?

Apesar das alegações do processo, a encriptação ponto a ponto (E2EE) do WhatsApp permanece intacta. Nada sugere que o protocolo de encriptação do WhatsApp tenha sido quebrado ou que a Meta possa ler o conteúdo das suas conversas. Isso significa que as suas mensagens de texto, fotografias e chamadas de voz ainda estão protegidas do acesso externo, incluindo da própria Meta.

No entanto, o WhatsApp pode ler os seus metadados (com quem está a falar, quando, etc.) e, dependendo de onde vive, partilha esses dados com a Meta. Portanto, a sua segurança depende de quanta informação deseja manter privada.

Por que a Meta está a ser processada por preocupações de privacidade do WhatsApp?

Attaullah Baig, que dirigiu a equipa de segurança do WhatsApp entre 2021 e 2025, diz que a aplicação não é nem de perto tão privada quanto a Meta afirma. No seu processo, ele alega que cerca de 1.500 funcionários têm acesso a informações sensíveis dos utilizadores, incluindo localização, fotografias de perfil, adesões a grupos e listas de contactos.

Se estas alegações forem verdadeiras, esclareceriam a posição do WhatsApp sobre a encriptação ponto a ponto(nova janela): As suas mensagens são privadas, mas a sua localização, fotografias de perfil, adesões a grupos e listas de contactos são jogo limpo. Esse tipo de acesso irrestrito abre a porta a ameaças internas e fugas de dados, onde informações sensíveis podem ser roubadas e vendidas na dark web.

O antigo chefe de segurança argumenta que este nível de acesso também pode violar uma ordem vinculativa do governo dos EUA que forçou a Meta (então Facebook) a pagar uma multa recorde de 5 mil milhões de dólares em 2020(nova janela) após o escândalo da Cambridge Analytica.

Ele também alega que a empresa ignorou mais de 100.000 tomadas de controlo de conta diárias e rejeitou as suas correções propostas. De acordo com o processo, quando Baig levantou estas preocupações com a liderança sénior, incluindo Mark Zuckerberg, a Meta despediu-o.

A Meta recusou as alegações de Baig e culpou o seu despedimento no mau desempenho. As alegações também atraíram atenção política, com senadores a pressionar Zuckerberg(nova janela) por respostas sobre as práticas de segurança do WhatsApp.

O processo de Baig surge apenas alguns dias depois de um grupo de seis atuais e antigos funcionários da Meta(nova janela) ter alegado que a empresa encobriu provas de crianças a serem expostas a aliciamento, assédio e violência nas suas plataformas de realidade virtual. A Meta também recusou essas alegações.

Quais são os riscos de segurança e privacidade do WhatsApp?

Com o tratamento de dados de utilizador do WhatsApp sob os holofotes, aqui estão os riscos de segurança e privacidade que pode enfrentar ao utilizar esta aplicação:

Malware e spyware

Aplicações ou ligações maliciosas podem instalar spyware no seu telefone, permitindo que atacantes intercetem mensagens ou códigos. Um exemplo é o PixPirate(nova janela), um malware Android detetado pela primeira vez no Brasil, onde visava o sistema de pagamento instantâneo do país, Pix. Desde então, foi observado na Índia, México e Itália. O seu objetivo é roubar credenciais bancárias, intercetar códigos de autenticação de dois fatores (2FA), iniciar transferências Pix não autorizadas a partir da conta de uma vítima e bloquear tentativas de desinstalá-lo ou desativar o Google Play Protect.

Os atacantes têm utilizado o WhatsApp para espalhar o PixPirate. Se o malware não detetar o WhatsApp no dispositivo(nova janela), irá transferi-lo para enviar mais ligações maliciosas aos contactos.

Exploits zero-click

Em 2025, investigadores descobriram um ataque zero-click que permitiu a hackers entrar em iPhones e Macs através do WhatsApp(nova janela) sem que os utilizadores clicassem em nada. O exploit combinou duas falhas: uma na forma como o macOS e o iOS processavam imagens, e outra na funcionalidade de ligação de dispositivos do WhatsApp.

Os cibercriminosos podiam entregar spyware aos utilizadores da Apple através de mensagens do WhatsApp e roubar dados dos seus dispositivos, incluindo mensagens. A Meta disse que menos de 200 utilizadores foram afetados, e tanto a Apple como o WhatsApp já corrigiram as vulnerabilidades.

No mesmo ano, uma vulnerabilidade zero-click separada afetou dispositivos Samsung (CVE-2025-21042(nova janela)). Os atacantes podiam comprometer telefones Galaxy enviando um ficheiro de imagem malicioso, e nenhuma interação é necessária. Este exploit foi utilizado em campanhas de spyware direcionadas até a Samsung corrigir o problema na sua atualização de segurança de abril de 2025.

Troca de cartão SIM e esquemas de código de verificação

Os atacantes podem enganar a sua operadora móvel para transferir o seu número de telefone para um novo cartão SIM que controlam. Depois, podem enganá-lo para partilhar o código de seis dígitos que o WhatsApp envia por SMS ao configurar um novo dispositivo. Se o entregar, agentes mal-intencionados podem sequestrar a sua conta, bloqueá-lo fora dela, roubar a sua identidade e usar o seu perfil para enganar os seus contactos. A polícia em Southwark, Londres, relatou um aumento destes ataques em 2021(nova janela), avisando as pessoas para nunca partilharem os seus códigos do WhatsApp.

Metadados expostos

Os chats podem ser encriptados de ponto a ponto, mas o WhatsApp (e a sua empresa principal Meta) ainda recolhe metadados — como com quem fala, com que frequência, os detalhes do seu dispositivo e localização. Os metadados não podem ser usados para o identificar diretamente, mas podem ser cruzados com outras informações para o reidentificar(nova janela). E porque a Meta está sediada nos EUA, pode partilhar tudo o que sabe sobre si com o governo dos EUA sem aviso.

Exposição em massa de 3,5 mil milhões de números de telefone do WhatsApp

Em 2025, um grupo de investigadores austríacos independentes descobriu(nova janela) uma falha de privacidade no WhatsApp que lhes permitiu recuperar 3,5 mil milhões de números de telefone — juntamente com fotografias de perfil, detalhes do dispositivo, carimbos de data/hora, texto “sobre” e informações comerciais — usando um método de enumeração de telefones facilmente reproduzível. A mesma vulnerabilidade foi relatada pela primeira vez em 2017, mas a Meta não a resolveu. Importante salientar que nenhuma violação de dados confirmada do WhatsApp foi relatada publicamente como tendo explorado este método específico.

Embora o seu número de telefone e metadados não o identifiquem diretamente, podem ser combinados com outros dados para revelar quem é. Talvez reutilize a mesma fotografia de perfil em plataformas sociais, ou tenha feito parte de incidentes de dados passados onde os seus e-mails, nomes de utilizador ou localização foram expostos — tudo o que pode ser ligado de volta aos seus metadados do WhatsApp.

Os investigadores também obtiveram as chaves públicas usadas para a encriptação ponto a ponto do WhatsApp e encontraram problemas graves, incluindo chaves de encriptação a serem reutilizadas centenas de vezes em diferentes contas, e pré-chaves únicas a aparecerem repetidamente, apesar de serem concebidas para serem geradas novas a cada sessão.

Estes problemas de segurança sugerem o uso de clientes WhatsApp não oficiais ou fraudulentos com encriptação quebrada. Se usar estas aplicações modificadas, as suas mensagens podem estar vulneráveis a interceção, desencriptação ou falsificação de conta.

A Meta disse que tinha corrigido o problema de enumeração, minimizou a sensibilidade dos dados expostos e não abordou os problemas de chave pública ou o facto de ter sido avisada sobre esta falha grave quase uma década antes.

Anúncios direcionados em todas as plataformas da Meta

O WhatsApp diz que não usa conteúdo de mensagens para anúncios(nova janela), mas usa outros dados — como informações da conta (código do país, idade), informações do dispositivo (idioma, localização) e atividade em Status e Canais (o que vê, segue ou clica). Porque o WhatsApp faz parte da Meta, estes dados podem ser partilhados através do Facebook e Instagram, embora esta partilha de dados seja limitada na Europa graças ao GDPR.

Desde que o WhatsApp alterou a sua política de privacidade em 2021, partilhou também dados de pagamento e transações que possa ter tido com empresas com a Meta (então Facebook). Se ligar o WhatsApp ao Centro de Contas da Meta, as suas preferências de anúncios são unificadas, o que significa que ações no WhatsApp podem influenciar anúncios que vê noutros lugares. E com novas funcionalidades alimentadas pela Meta AI, a partilha de dados entre plataformas levanta ainda mais preocupações.

Treino da Meta AI

A Meta AI está incorporada no WhatsApp, Facebook e Instagram, alimentando preocupações sobre como os dados são processados, usados para treino de IA e partilhados nestas plataformas.

No WhatsApp, a Meta diz que a Meta AI não acede aos seus chats privados e encriptados de ponto a ponto. No entanto, os prompts e comentários que partilha com a Meta AI podem ser armazenados e usados para melhorar os seus modelos. O WhatsApp também oferece uma funcionalidade de resumo de conversa que depende de “processamento privado”(nova janela), que a Meta afirma impedir que os resumos sejam lidos pela empresa ou por qualquer outra pessoa.

Mesmo com estas garantias, permanecem preocupações sobre quanto controlo as pessoas realmente têm sobre os seus dados. Por exemplo, utilizadores do Facebook relataram que a Meta AI ativou definições que lhe permitiam digitalizar fotografias não publicadas do rolo da câmara sem o seu consentimento.

Como manter-se seguro no WhatsApp

Aqui está o que pode fazer para melhorar a sua privacidade e segurança ao usar o WhatsApp:

• Use sempre as aplicações oficiais do WhatsApp da App Store ou Google Play para garantir que a sua encriptação ponto a ponto funciona corretamente.
• Ative as notificações de segurança no seu telefone para receber alertas quando um contacto reinstala o WhatsApp, muda de telefone ou adiciona ou remove um dispositivo ligado.
• Crie uma chave de acesso para que possa iniciar sessão no WhatsApp com o seu rosto, impressão digital ou bloqueio de ecrã. Isto impede que outra pessoa inicie sessão mesmo que obtenha o seu código SMS.
• Adicione um endereço de e-mail para verificar ou recuperar a sua conta se ficar bloqueado fora dela. Certifique-se de que o seu próprio e-mail está protegido com uma palavra-passe forte e autenticação de dois fatores.
• Ative cópias de segurança encriptadas de ponto a ponto para proteger os seus chats no iCloud ou Google Drive para que nem a Apple, Google ou Meta possam lê-los. O WhatsApp não lhe permite escolher um fornecedor de armazenamento na nuvem. Caso contrário, deve desativar totalmente as cópias de segurança de chat.
• Nunca partilhe o seu código de verificação de seis dígitos com ninguém. O WhatsApp e a Meta nunca o pedirão.
• Peça à sua operadora móvel para adicionar um PIN ou frase-passe antes que o seu número possa ser movido para outro cartão SIM. Isto torna a troca de cartão SIM muito mais difícil.
• Transfira o WhatsApp apenas da Google Play ou App Store e mantenha-o — e o sistema operativo do seu telemóvel e computador — atualizado para a versão mais recente.
• Nunca clique em ligações ou instale aplicações de contactos do WhatsApp desconhecidos ou suspeitos. Se não tiver a certeza sobre um contacto, contacte-o usando outro método para confirmar a sua identidade.
• Restrinja as suas (nova janela)definições de privacidade do WhatsApp(nova janela) limitando quem o pode adicionar a grupos e ver a sua fotografia de perfil, última vez visto e estado online, secção sobre e ligações no seu perfil.
• Não pode desativar completamente a Meta AI no WhatsApp, mas pode tomar medidas para impedir que aprenda demasiado com a sua atividade — e proteger as suas mensagens de acabarem em dados de treino de IA.

Escolha uma aplicação de mensagens instantâneas mais privada

Embora possa tomar medidas para melhorar a sua segurança e limitar o que outros utilizadores do WhatsApp podem ver, isso não altera o facto de a Meta ainda depender da recolha de informações do utilizador, como metadados, para obter receitas. Se as recentes alegações do denunciante forem precisas, esse acesso pode ser ainda mais amplo do que a empresa admite. Dado o histórico de violações de privacidade da Meta, algum ceticismo é justificado.

Se está preocupado com este nível de controlo, considere uma alternativa mais privada ao WhatsApp que recolha muito menos dados e não esteja ligada a uma empresa Big Tech multada por reguladores pelo seu modelo de publicidade de pagamento ou consentimento.