- Las apps de mensajería acumulan vulnerabilidades técnicas, metadatos excesivos y errores humanos que pueden derivar en filtraciones masivas y escándalos.
- WhatsApp, Signal y otras soluciones de consumo no ofrecen los controles ni el cumplimiento necesarios para sectores críticos, sanitarios, legales o gubernamentales.
- Las organizaciones deben migrar hacia plataformas de mensajería empresariales con cifrado robusto, control de claves, auditoría y soberanía de datos.
- La combinación de herramientas adecuadas, actualizaciones, formación y buenas prácticas individuales reduce drásticamente el riesgo en la comunicación digital.
Las aplicaciones de mensajería se han convertido en el centro de nuestra vida digital: coordinamos el trabajo, organizamos planes con amigos, enviamos documentos sensibles o incluso detalles médicos y financieros. Ese uso masivo, sin embargo, ha dejado al descubierto una realidad incómoda: cuanto más dependemos de estas herramientas, más atractivas se vuelven para los ciberdelincuentes y más grave es cualquier fallo de diseño o error humano.
En los últimos años se han destapado debilidades graves en WhatsApp, Signal, Telegram y otras plataformas, así como incidentes sonados en gobiernos, empresas y organizaciones sanitarias que demuestran que un “simple chat” puede acabar en sanciones millonarias, filtraciones masivas de datos o auténticos escándalos políticos. A lo largo de este artículo vamos a desgranar, con calma pero sin paños calientes, por qué estas herramientas no son inocuas, qué riesgos reales implican y qué alternativas y buenas prácticas existen para minimizar el desastre.
Vulnerabilidades masivas en WhatsApp y la fragilidad de los números de teléfono
Uno de los episodios recientes más llamativos fue el descubierto por un equipo de investigadores de la Universidad de Viena y SBA Research, que encontraron una debilidad de gran escala en el mecanismo de detección de contactos de WhatsApp. Esta funcionalidad, diseñada para comprobar qué números de tu agenda usan la app, se convirtió en una puerta de entrada ideal para el scraping masivo de cuentas.
Gracias a esta debilidad, los investigadores demostraron que era posible consultar más de 100 millones de números de teléfono por hora a través de la infraestructura de WhatsApp, hasta enumerar unos 3.500 millones de cuentas activas en 245 países. El sistema respondía a una cantidad de peticiones descomunal desde una misma fuente, cuando lo razonable sería que las rechazara o limitara. Ese comportamiento fue precisamente lo que dejó en evidencia el fallo.
De cada número validado, un atacante podía extraer datos públicos asociados al perfil de WhatsApp: claves públicas, marcas de tiempo, mensaje de estado, foto de perfil y, cruzando esta información, incluso el sistema operativo, la antigüedad de la cuenta o el número de dispositivos vinculados. Aunque Meta afirmó que subsanó la vulnerabilidad y que no tuvo impacto para los usuarios, es extremadamente complicado probar que nadie la explotó en silencio antes de que se publicara la investigación.
Tal y como apuntaba Luis Corrons, experto en seguridad, un atacante cuidadoso realizaría el rastreo lentamente y distribuido entre muchas IP, mezclándose con el tráfico normal y esquivando la detección. El hallazgo, además, reveló que alrededor de la mitad de los números filtrados en el gran scraping de Facebook de 2021 seguían activos en WhatsApp, poniendo de manifiesto que el número de teléfono funciona, en la práctica, como un identificador casi permanente.
La gran lección de este episodio es que deberíamos tratar el número de teléfono como una contraseña y no como un dato trivial. Configurar WhatsApp para que solo los contactos vean la foto y el texto de información, evitar publicar el móvil principal en webs públicas y valorar un número específico para anuncios o negocios son pequeños pasos que reducen mucho la exposición.
Privacidad y metadatos: el lado oscuro de los chats “gratuitos”
Más allá de vulnerabilidades concretas, las aplicaciones de mensajería arrastran un problema estructural: recopilan una enorme cantidad de datos personales y metadatos. Incluso cuando el contenido está cifrado de extremo a extremo, la información sobre quién habla con quién, cuándo, desde dónde y con qué dispositivo puede ser oro puro para atacantes y para cualquiera que quiera hacer perfilados masivos.
En el caso de WhatsApp, se recopilan de forma sistemática números de teléfono de todos los contactos, datos del dispositivo, patrones de uso, membresía de grupos, fotos de perfil, mensajes de estado, direcciones IP, datos de ubicación e incluso información de pagos donde la función está disponible. Con estas piezas se pueden reconstruir redes sociales y profesionales, mapas de relación internos de una empresa, hábitos de viaje o incluso jerarquías organizativas.
Muchas organizaciones, llevadas por la urgencia o por el ahorro de costes, han buscado refugio en apps para consumidores como WhatsApp, Telegram o Signal para coordinar tareas sensibles en sectores críticos, gubernamentales o empresariales. Sin embargo, lo que a primera vista suena a solución barata y conocida suele esconder costes ocultos: pérdida de control sobre los datos, incumplimientos regulatorios, violaciones de confidencialidad y, en el peor de los casos, brechas con un impacto reputacional devastador.
Otro punto delicado es el de las copias de seguridad en la nube. Aunque los mensajes estén cifrados durante el envío, muchas aplicaciones fomentan copias en servicios de terceros, que no siempre respetan el mismo nivel de cifrado y que pueden convertirse en el eslabón débil. Una copia en la nube mal protegida puede anular de golpe todo el beneficio del cifrado de extremo a extremo.
Riesgos de ciberseguridad en el escritorio: Electron, claves y malware
Cuando pasamos de la versión móvil a las versiones de escritorio, la cosa se complica todavía más. La gran mayoría de clientes de mensajería de sobremesa están construidos sobre Electron, un framework que encapsula una aplicación web dentro de un navegador Chromium. Esto es muy cómodo para los desarrolladores, porque les permite crear una app “nativa” para varios sistemas operativos a la vez, pero implica arrastrar de serie las vulnerabilidades de Chromium.
Chrome y Chromium son, literalmente, objetivos prioritarios para los ciberdelincuentes. Sus fallos se investigan y explotan con rapidez, y Google suele responder con parches frecuentes. El problema es que los programas basados en Electron no siempre actualizan su motor integrado al mismo ritmo, de manera que un fallo ya corregido en el navegador puede seguir vivo durante meses en un cliente de mensajería de escritorio.
A eso se suma un riesgo muy delicado: las claves de cifrado de las conversaciones se almacenan en el disco duro del ordenador. Si alguien consigue comprometer el equipo con malware, es mucho más factible robar esas claves en un escritorio que en un móvil, donde la arquitectura del sistema y los mecanismos de seguridad hacen más difícil el acceso remoto a ese tipo de secretos.
Conviene no olvidar, por último, el papel de los mensajeros como canal de distribución de archivos maliciosos. Mientras que ante un adjunto de correo o una descarga web suele haber cierto nivel de sospecha, muchos usuarios bajan sin pensárselo dos veces un archivo que llega por un chat, sobre todo si lo envía un supuesto compañero en una herramienta vendida como “segura”. Este exceso de confianza es justo lo que buscan los atacantes.
Errores humanos de alto nivel: del grupo equivocado al escándalo político
Más allá de las cuestiones técnicas, hay un factor imposible de parchear con software: los fallos humanos en el uso de las aplicaciones. Todos hemos enviado alguna vez un mensaje al grupo equivocado, desde un comentario fuera de lugar hasta un corazón mal dirigido al jefe. Normalmente queda en una anécdota vergonzosa, pero cuando se mezclan mensajería y asuntos sensibles, el lío puede escalar a dimensiones históricas.
Un caso paradigmático fue el del chat en Signal de altos cargos de la Administración de Donald Trump, en el que se coordinaban operaciones militares contra los hutíes en Yemen. El consejero de Seguridad Nacional, Mike Waltz, añadió por error a Jeffrey Goldberg, director de la revista The Atlantic, a un grupo llamado “Pequeño grupo de contacto sobre los hutíes”, dando acceso a información sobre la hora exacta de los ataques y el armamento a emplear.
En esa conversación aparecían nombres como el vicepresidente J. D. Vance, el secretario de Defensa Pete Hegseth, la directora de inteligencia Tulsi Gabbard, el secretario de Estado Marco Rubio o el director de la CIA John Ratcliffe, entre otros. La famosa frase “me equivoqué de chat” pasó de chascarrillo a ejemplo mundial de la temeridad de discutir secretos militares en un chat cifrado pero sin controles formales.
Inicialmente, Trump trató de minimizarlo asegurando que no se compartió información clasificada ni relevante para la seguridad nacional, y su equipo acusó a la revista de tener una agenda política. Sin embargo, ante la presión, The Atlantic decidió publicar el contenido íntegro del grupo para que fuera la opinión pública quien valorara la gravedad del asunto, destapando además comentarios despectivos sobre los aliados europeos que ya habían asomado en otras cumbres.
El incidente disparó comparaciones con el caso de Hillary Clinton y su uso del correo privado, y reavivó el debate sobre hasta qué punto las herramientas de mensajería instantánea son adecuadas para tratar información de alto secreto, por muy cifradas que estén. La moraleja es clara: el cifrado protege del espionaje externo, pero no corrige decisiones imprudentes ni errores de destinatario.
Phishing, suplantaciones y secuestro de cuentas de WhatsApp
Otro campo en el que las aplicaciones de mensajería se han convertido en terreno de caza para los delincuentes es el de la suplantación de identidad y el phishing. Campañas que antes se limitaban al correo electrónico ahora se distribuyen también por SMS, WhatsApp u otros canales, con mensajes que fingen ser notificaciones legítimas para lograr que el usuario haga clic donde no debe.
Un ejemplo típico es el correo que aparenta venir de WhatsApp y que te invita a “hacer una copia de seguridad de tus mensajes y tu historial de llamadas” a través de un enlace. Al pinchar, en lugar de una copia de seguridad, el usuario descarga software malicioso que puede robar datos, controlar la cuenta o incluso infectar el dispositivo de manera persistente.
En los últimos meses se ha observado también un aumento de intentos de secuestro de cuentas de WhatsApp usando ingeniería social. Aprovechando datos personales recopilados de fugas previas o redes sociales, el atacante se hace pasar por un conocido, por el propio servicio técnico o por una entidad de confianza y convence a la víctima para que le facilite el código de verificación recibido por SMS.
Ese código, que muchas apps (incluyendo banca, redes sociales y sistemas de autenticación tipo SMS-ID) utilizan como segunda capa de seguridad, es la llave maestra. Compartirlo, aunque sea “porque lo pide un amigo”, equivale a entregar en bandeja el control de la cuenta. Una vez dentro, el delincuente puede hacerse pasar por la víctima para pedir dinero, acceder a conversaciones previas o ampliar el ataque a otros servicios vinculados al mismo número.
Frente a este tipo de amenazas, la receta pasa por reforzar la concienciación y la higiene básica de seguridad: desconfiar de mensajes inesperados que piden códigos o contraseñas, activar sistemas adicionales de verificación (como el PIN de verificación en dos pasos de WhatsApp), y revisar periódicamente qué dispositivos tienen sesión iniciada en nuestra cuenta.
Riesgos en entornos sanitarios y corporativos: por qué no vale “cualquier WhatsApp”
En organizaciones como el Servicio de Salud de las Islas Baleares, la mensajería instantánea se ha convertido en una herramienta imprescindible para comunicaciones rápidas entre profesionales, pero eso no significa que se pueda usar cualquier app que tengamos en el móvil personal. La elección de la herramienta condiciona directamente la confidencialidad de los datos de pacientes y el cumplimiento legal.
Por este motivo, en ese entorno se ha optado por utilizar Microsoft Teams como aplicación corporativa de mensajería, dejando claro que las comunicaciones instantáneas entre el personal sanitario deben realizarse únicamente mediante esta plataforma. Teams se integra en el ecosistema Office 365, que dispone de soluciones de seguridad específicas para mitigar ransomware, suplantación de identidad, fuga de información y amenazas asociadas a URLs y archivos maliciosos.
Al mismo tiempo, se insiste en la importancia de mantener todas las aplicaciones actualizadas y usar contraseñas robustas, para reducir la ventana de exposición frente a vulnerabilidades conocidas. La formación a usuarios es clave: entender que cada retraso en actualizar o cada contraseña débil abre oportunidades a potenciales atacantes.
En el ámbito sanitario, y en cualquier otra organización sujeta a normas estrictas como HIPAA, GDPR, SOX o requisitos de defensa, las apps de mensajería pensadas para el gran público suelen carecer de controles empresariales esenciales: administración centralizada de usuarios, políticas de retención, trazabilidad completa de acceso, prevención de fuga de datos o integración con sistemas de gestión de identidades.
Los casos reales abundan: desde hospitales sancionados con multas millonarias por permitir el uso de WhatsApp para coordinar a pacientes, hasta despachos de abogados en los que el uso de Signal con clientes llevó a dudas sobre el mantenimiento del privilegio abogado-cliente y a demandas por mala praxis. Estas situaciones dejan claro que, por muy tentador que sea aprovechar una app popular, el precio a pagar puede ser enorme.
Salt Typhoon, infraestructuras críticas y los límites de la mensajería de consumo
Los ataques atribuidos a grupos como Salt Typhoon contra grandes proveedores de telecomunicaciones han puesto de relieve la fragilidad de la infraestructura de comunicaciones sobre la que se apoyan gobiernos, empresas y servicios críticos. Ante esta sensación de vulnerabilidad, muchas organizaciones han recurrido, casi por reflejo, a apps de mensajería para consumidores como solución rápida para “asegurar” las conversaciones internas.
El problema es que estas herramientas, aunque ofrezcan mejor protección que los SMS o el correo sin cifrar, no están diseñadas para el nivel de exigencia que requieren comunicaciones de alto valor estratégico. Suelen concentrar la infraestructura en unos pocos centros de datos del proveedor, lo que crea puntos únicos de fallo y objetivos muy jugosos para atacantes y para presiones legales de gobiernos extranjeros.
A nivel regulatorio, muchas de estas plataformas no encajan bien con requisitos específicos de sectores sensibles, como las obligaciones de archivado y auditoría en finanzas, las retenciones legales en litigios o las restricciones de soberanía de datos en contratos gubernamentales. Utilizarlas para tratar información sujeta a estas normas es jugársela a que, tarde o temprano, llegue una inspección o un incidente que destape el incumplimiento.
En el terreno de la soberanía de datos, además, el uso de servicios globales implica que la información puede acabar almacenada en jurisdicciones con leyes de acceso muy distintas, o incluso contradictorias con la normativa local. Esto abre la puerta tanto a la recopilación de inteligencia por parte de terceros estados como a complejas batallas legales sobre qué legislación se aplica a cada trozo de información.
Por todo ello, las organizaciones que gestionan infraestructuras críticas o información muy sensible necesitan soluciones pensadas desde el principio para su realidad: arquitectura de conocimiento cero, clave de cifrado bajo control del cliente, despliegues on-premises o híbridos que garanticen soberanía de datos y un conjunto completo de funciones de auditoría, retención, integración y autenticación avanzada.
Cellcrypt y las plataformas empresariales: un enfoque diferente a la seguridad
Frente a las limitaciones de las apps generalistas, han ido ganando terreno plataformas diseñadas específicamente para comunicaciones empresariales y gubernamentales seguras, como es el caso de Cellcrypt. Estas soluciones parten de una premisa clara: el proveedor no debe poder leer el contenido ni acumular más metadatos de los estrictamente imprescindibles.
Cellcrypt adopta una arquitectura de conocimiento cero con cifrado de extremo a extremo y control de claves por parte del cliente. Esto se complementa con cifrado post-cuántico de doble capa, basado en algoritmos estandarizados por NIST, pensado para resistir tanto ataques actuales como futuros escenarios de “capturar ahora y descifrar después” cuando la computación cuántica sea una amenaza realista.
En entornos donde se manejan secretos de estado o información de defensa, este tipo de soluciones cuenta con aprobaciones de organismos como la OTAN y certificaciones gubernamentales, además de auditorías externas que validan su diseño y su implementación. No es solo una cuestión de tecnología, sino de demostrar, con papeles y pruebas, que se cumplen los estándares más exigentes.
Desde el lado de la administración, plataformas de este estilo ofrecen gestión centralizada de usuarios, control de acceso basado en roles, aprovisionamiento y retirada remota de dispositivos, aplicación de políticas de seguridad y herramientas de auditoría y reporting que permiten documentar quién accedió a qué, cuándo y desde dónde, algo imprescindible en sectores regulados.
En cuanto al despliegue, las opciones son muy flexibles: desde instalaciones en la propia infraestructura del cliente para un control total de los datos, hasta modelos en la nube o híbridos que permiten equilibrar rapidez de adopción, escalabilidad y soberanía. A nivel funcional, se incluyen llamadas de voz y vídeo cifradas, mensajería y chats de grupo, intercambio de archivos y pantalla protegidos, y medidas extra como bloqueo de capturas, borrado remoto o geovallas para limitar el uso en determinadas ubicaciones.
Para que esta transición sea viable, se suele plantear una estrategia en fases: auditoría del uso actual de mensajería, definición de políticas, pilotos controlados, despliegue gradual y aplicación efectiva que incluya la prohibición explícita de apps de consumo para comunicaciones sensibles. Sin este componente normativo y formativo, la tecnología por sí sola no basta.
Buenas prácticas para usuarios y recursos para seguir aprendiendo
A nivel individual, hay una serie de pautas que cualquier persona puede aplicar para reducir su exposición al usar aplicaciones de mensajería. Lo primero es tratar el número de teléfono y los códigos que llegan por SMS como credenciales sensibles que no deben compartirse jamás, aunque quien lo pida parezca un amigo, un técnico o la propia aplicación.
Conviene revisar la configuración de privacidad de cada app para limitar quién ve la foto de perfil, la descripción, la última hora de conexión o el perfil público. Cuanta menos información esté al alcance de cualquiera, más difícil será para un atacante elaborar un engaño convincente o vincular nuestro número con otros datos filtrados.
En el apartado técnico, es fundamental mantener los dispositivos protegidos con antivirus actualizados y sistemas operativos al día, además de desconfiar de cualquier enlace o archivo que llegue de forma inesperada, incluso si procede de un contacto conocido (su cuenta también puede haber sido comprometida). Pensarlo dos veces antes de pulsar puede ahorrarnos muchos disgustos.
Existen recursos muy útiles elaborados por organismos como el INCIBE: infografías para crear contraseñas robustas, blogs sobre los errores más frecuentes de los usuarios, guías para identificar intentos de phishing y boletines especializados sobre correo electrónico, gestores de contraseñas o la forma correcta de reportar fraudes online. Son materiales claros, pensados para el gran público, que ayudan a incorporar la ciberseguridad al día a día.
A nivel organizativo, combinar una herramienta corporativa adecuada (Teams, soluciones cifradas empresariales tipo Cellcrypt, etc.) con formación periódica en buenas prácticas y un seguimiento de herramientas de acceso remoto y servicios en la nube no autorizados permite reducir mucho el margen de maniobra de atacantes y descuidos internos. No se trata de vivir con miedo, sino de ser conscientes de que, con unas cuantas medidas razonables, la mayoría de desastres se pueden evitar.
Todo lo que hemos visto demuestra que las aplicaciones de mensajería son tan potentes como delicadas: facilitan la vida, pero cualquier fallo técnico o humano puede tener consecuencias muy serias en términos de privacidad, cumplimiento y seguridad. Evaluar qué herramienta usamos para cada tipo de conversación, limitar al máximo la exposición de nuestros datos y apostar por soluciones empresariales cuando la información lo exige es la mejor forma de seguir disfrutando de la inmediatez del chat sin convertirlo en nuestro talón de Aquiles digital.
Tabla de Contenidos
- Vulnerabilidades masivas en WhatsApp y la fragilidad de los números de teléfono
- Privacidad y metadatos: el lado oscuro de los chats “gratuitos”
- Riesgos de ciberseguridad en el escritorio: Electron, claves y malware
- Errores humanos de alto nivel: del grupo equivocado al escándalo político
- Phishing, suplantaciones y secuestro de cuentas de WhatsApp
- Riesgos en entornos sanitarios y corporativos: por qué no vale “cualquier WhatsApp”
- Salt Typhoon, infraestructuras críticas y los límites de la mensajería de consumo
- Cellcrypt y las plataformas empresariales: un enfoque diferente a la seguridad
- Buenas prácticas para usuarios y recursos para seguir aprendiendo