Por Daniel Monastersky y Facundo Malaureille
Argentina pide explicaciones a la empresa tras descubrir que 3500 millones de números telefónicos estuvieron años vulnerables a robos masivos.
Imaginate que alguien pudiera entrar a tu casa sin forzar la cerradura. Que simplemente entrara porque nunca le pusiste llave, aunque hace años alguien te lo advirtió. Así funciona lo que acaba de pasar con WhatsApp.
Un grupo de investigadores de la Universidad de Viena descubrió que la aplicación de mensajería instantánea más usada del mundo tenía un agujero de seguridad que permitía extraer números de teléfono de usuarios de manera fácil y masiva. Lo peor: Meta, la empresa dueña de WhatsApp, sabía de este problema desde 2017 y no hizo absolutamente nada para solucionarlo durante ocho años.
El escándalo es tan grande que presentamos una denuncia ante la AAIP (Autoridad de Protección de Datos Personales). Queremos que se investigue cómo fue posible que una empresa estadounidense ignore durante casi una década la privacidad de sus usuarios argentinos.
Cómo funciona la vulnerabilidad
WhatsApp tiene una función útil. Cuando vos agregás un número a tu libreta de contactos, la app te avisa automáticamente si esa persona está en WhatsApp. Es práctico, nadie tiene que hacer nada especial.
Pero resulta que esta función dejaba la puerta abierta. Durante años, cualquiera podía preguntarle a WhatsApp «¿este número existe?» cientos de veces por segundo, sin que la app frenara.
Entonces, alguien con un poco de conocimiento técnico y una computadora podía ponerse a probar números telefónicos de manera automática. Millones de números. Miles de millones de números.
En 2017, un investigador de seguridad llamado Loran Kloeze descubrió esto y se lo comunicó a Meta. La empresa recibió el aviso. Meta dice que reconoció el problema. Pero pasaron años y años sin que hicieran nada importante para arreglarlo.
Cuando la casa quedó abierta
Hace poco, un equipo de investigadores de la Universidad de Viena decidió revisar si ese agujero seguía abierto. Spoiler: estaba abierto.
Estos investigadores —Gabriel Gegenhuber, Philipp Frenzel, Maximilian Günther, Johanna Ullrich y Aljosha Judmayer— hicieron un experimento. En apenas 30 minutos extrajeron 30 millones de números de teléfono estadounidenses. Siguieron adelante. Y siguieron. Hasta que compilaron una base de datos con aproximadamente 3500 millones de números telefónicos.
Tres mil quinientos millones. Eso es casi todos los usuarios de WhatsApp que hay en el planeta.
Los investigadores actuaron responsablemente. Borraron los datos. Avisaron a Meta. Recién ahí la empresa se movió y, aproximadamente seis meses después, finalmente implementó la solución que debería haber estado desde el principio: frenar las consultas masivas.
«Esto es la exposición más grande de números telefónicos y datos personales que jamás se haya documentado», declaró uno de los investigadores.
Argentina también fue afectada
Entre esos 3500 millones de números están los de millones de argentinos. Según la investigación son 43.854.434 (sí, casi 44 millones). Tus contactos de WhatsApp. Tus números de amigos, familia, colegas. Estuvieron expuestos.
Los investigadores publicaron un repositorio donde documentaron su investigación. Ahí se ven números de múltiples países, incluyendo Argentina. Perfiles públicos. Fotos. Información suficiente para saber quién sos.
Esto ocurrió sin que Meta notificara a nadie. Sin avisar. Sin pedir disculpas anticipadas. Los usuarios argentinos no tenían ni idea de que sus números estaban en riesgo.
Es por eso que presentamos una denuncia formal ante la AAIP (Autoridad de Protección de Datos Personales), el organismo que en Argentina se encarga de defender la privacidad de los ciudadanos.
En la denuncia solicitamos que la AAIP investigue qué pasó. Que averigüe cuántos argentinos fueron afectados. Que exija respuestas a Meta. Y que, si corresponde, aplique sanciones.
Preguntas incómodas para Meta
Si la AAIP avanza con la investigación —y todo indica que así será—, Meta tendrá que responder algunas preguntas bastante incómodas.
Por ejemplo: ¿Por qué esperó 8 años para implementar una solución? ¿Fue negligencia o fue un cálculo empresarial? ¿Acaso pensaron que no pasaría nada?
¿Cuántos argentinos fueron afectados realmente? ¿Hay alguien monitoreando si actores malintencionados también explotaron este agujero antes de que fuera parcheado?
Y quizás la más importante: ¿Por qué nunca les avisaron a los usuarios? Si tu banco hubiera sido hackeado, ya habrías recibido una llamada. Si tu información de salud estuviera comprometida, lo sabrías. Pero Meta guardó silencio.
El patrón se repite
Mientras investigamos este caso, nos dimos cuenta de algo preocupante: Argentina ha tenido problemas similares con otras grandes empresas de tecnología. Hace poco, el caso de Worldcoin generó preocupación por cómo se recopilaba información biométrica de argentinos sin protecciones adecuadas.
Pero lo más preocupante es que Meta es un reincidente. Hace aproximadamente un año ya habíamos presentado una denuncia ante la AAIP sobre cómo Meta estaba usando inteligencia artificial para entrenar sus modelos con datos de usuarios de WhatsApp sin consentimiento informado. Ahora, un año después, enfrentamos un nuevo caso donde Meta nuevamente ignoró advertencias sobre seguridad de datos durante años.
Es como si Meta dijera: presentan denuncia, nosotros seguimos igual, ¿quién les va a frenar?
Lo que distingue este caso de violación de datos es la escala y la negligencia. 8 años.
Primero, la realidad: si tenés WhatsApp, tu número está en esa base de datos compilada por investigadores. Está documentado en publicaciones académicas de acceso público.
¿Eso significa que alguien te va a llamar mañana estafando? No necesariamente. Pero significa que tu información está ahí, y durante 8 años estuvo al alcance de cualquiera que supiera técnicamente cómo extraerla.
Lo que sigue será un proceso que puede tomar meses o años. La AAIP investigará. Meta responderá (o no). Habrá análisis, probablemente auditorías. Al final, habrá una decisión.
Lo que está en juego es claro: si Meta fue negligente -nuevamente- ¿habrá consecuencias? ¿Argentina seguirá el camino de otros países que han sancionado a las Big Techs por violaciones a la privacidad?
O ¿seguiremos siendo un país donde estas empresas pueden hacer lo que quieran?
Estaremos atentos. La respuesta la tendremos en los próximos meses. Mientras tanto, tu número de WhatsApp sigue en esa base de datos. Y Meta sabe que fue su culpa.
Lo que pedimos que investigue la AAIP
En la presentación formal ante la AAIP, hemos solicitado específicamente que la autoridad actúe en varios frentes para que Meta rindan cuentas.
Primero, que abra una investigación de oficio contra Meta Platforms Ireland Ltd. No por negligencia simple, sino por violación deliberada del principio de seguridad. Meta tuvo 8 años para implementar medidas técnicas básicas que cualquier empresa responsable hubiera implementado. No lo hizo.
Segundo, queremos que Meta responda preguntas concretas. ¿Cuántos usuarios argentinos fueron efectivamente afectados? ¿Desde cuándo exactamente se puede acceder a sus números? ¿Qué comunicaciones tiene Meta de 2017 en adelante sobre esta vulnerabilidad? ¿Por qué nunca se parcheó hasta que investigadores externos la expusieron públicamente?
Tercero, pedimos que Meta presente un plan de mitigación. Que demuestre que notificó a los usuarios argentinos. Que presente una auditoría independiente de seguridad de la API que permite verificar números. Que implemente medidas de protección adicionales para que esto no vuelva a suceder.
Cuarto, queremos que la AAIP investigue si otros actores malintencionados explotaron esta misma vulnerabilidad. Meta tiene logs de acceso de los últimos 8 años. Debe saber si alguien más probó lo que los investigadores de Viena probaron.
Quinto, que se apliquen sanciones. No estamos hablando de una multa simbólica. Estamos hablando de una sanción que considere la gravedad: 3.5 mil millones de números comprometidos. La negligencia sistemática: 8 años sabiendo del problema. El carácter transnacional de lo ocurrido.
Sexto, que ordene medidas cautelares. Preservación de toda evidencia técnica. Bloqueo de nuevos intentos de enumeración masiva. Suspensión de ciertas transferencias de datos relacionadas hasta que todo se aclare.
Y séptimo, que coordine con autoridades de otros países. Europa ya ha sancionado a Meta por infracciones similares. Brasil también está investigando. Colombia tiene regulaciones estrictas sobre brechas de datos. Argentina no puede quedarse atrás.
Lo que está en juego no es solo una multa. Es si Argentina está dispuesta a hacer que estas empresas multinacionales rindan cuentas. O si seguiremos siendo un país donde pueden pasar décadas ignorando la privacidad de sus ciudadanos sin consecuencias.
