Una vulnerabilidad de WhatsApp y Signal permite saber si un usuario está utilizando su teléfono o cambia de ubicación

WhatsApp es la aplicación de mensajería instantánea más popular del mundo. Con más de 3 mil millones de usuarios activos cada mes, permite comunicarse a través de mensajes de texto, llamadas y videollamadas con nuestros amigos, familiares y el resto de contactos. Tan solo se necesita un teléfono móvil inteligente y conexión a Internet para estar conectado con las personas que de verdad te importan.

Debido a su éxito (sobre todo en India, el mercado con más usuarios, casi 600 millones), Meta —la compañía que adquirió el servicio hace más de 10 años— ha implementado diversas medidas para garantizar que las comunicaciones sean lo más seguras posible. Por ejemplo, cifrado de extremo a extremo (E2EE), verificación en dos pasos, mensajes temporales y detección de enlaces sospechosos, entre otras.

Sin embargo, ningún sistema es infalible. WhatsApp tampoco es la excepción. Se ha descubierto una vulnerabilidad que, de ser explotada por actores maliciosos, podría revelar si un usuario está utilizando en ese momento su teléfono móvil inteligente o si cambia de ubicación. Te contamos en qué consiste exactamente esta debilidad informática.

La vulnerabilidad de WhatsApp y Signal, a fecha de diciembre de 2025, sigue pudiendo explotarse

Basado en lo descubierto en el artículo de investigación titulado 'Susurro descuidado: Aprovechamiento de recibos de entrega silenciosos para monitorear usuarios en mensajería instantánea móvil', de Gabriel K. Gegenhuber, Maximilian Günther, Markus Maier, Aljosha Judmayer, Florian Holzbauer, Philipp É. Frenzel y Johanna Ullrich, investigadores de la Universidad de Viena y SBA Research, se ha creado una prueba de concepto sobre esta interesante vulnerabilidad de WhatsApp.

Tiene que ver con el Round-Trip Time (RTT) (o Tiempo de Ida y Vuelta, en español), una métrica que mide el tiempo total, generalmente en milisegundos (ms), que tarda un paquete de datos en viajar desde un origen hasta un destino y recibir la respuesta de vuelta, siendo crucial para la latencia y rendimiento en redes informáticas y telecomunicaciones.

Esta métrica se utiliza para evaluar la velocidad de respuesta de un servidor y la eficiencia de la conexión, calculándose comúnmente con herramientas como ping o en el establecimiento de conexiones TCP. La prueba de concepto mide el RTT de los recibos de entrega de mensajes de WhatsApp.

Con este método, es posible saber el momento en el que un usuario está usando activamente su dispositivo (RTT bajo), si el dispositivo está en modo de espera/inactivo (RTT más alto), posibles cambios de ubicación (datos móviles vs. WiFi) y patrones de actividad a lo largo del tiempo. Una vulnerabilidad de privacidad bastante significativa en las aplicaciones de mensajería que puede ser explotada para fines de vigilancia.

Como explica la página del proyecto de GitHub, la manera más efectiva de protegerse es habilitando el bloqueo de mensajes de cuentas desconocidas en WhatsApp, característica que se encuentra en Configuración → Privacidad → Avanzado. Este ajuste puede reducir la capacidad de un atacante para enviar spam de respuestas de sondeo desde números desconocidos.

No obstante, WhatsApp no revela qué significa "gran volumen", por lo que tampoco impide por completo que un atacante envíe un número significativo de reacciones de sondeo antes de que se active la limitación de velocidad. A fecha de diciembre de 2025, esta vulnerabilidad no solo sigue siendo explotable en la aplicación de Meta, sino también en Signal.

Esta alternativa suele considerarse más segura y privada que WhatsApp porque no guarda metadatos sensibles, ya que solo conserva el número de teléfono y la fecha de última conexión al servidor. Nada de registros sobre con quién se ha hablado ni durante cuánto tiempo. Además, cuenta con el mecanismo Sealed Sender, que oculta incluso al servidor quién envió un mensaje a quién.

Otro de los puntos fuertes de Signal es que es 100 % de código abierto, por lo que cualquier experto en ciberseguridad puede auditar el servicio. Por su parte, WhatsApp solo es parcialmente abierto, ya que el servidor, la app completa y la gestión de datos no son open-source. Y además, todo en Signal está cifrado, incluso las copias de seguridad, que solo pueden restaurarse con una clave que únicamente conoce el usuario.