Los números de teléfono asociados a WhatsApp se han convertido en un activo cotizado en los foros clandestinos. La magnitud del mercado quedó patente cuando un actor puso a la venta una base con casi 500 millones de registros recientes, verificada por investigadores independientes, que incluía datos de usuarios de 84 países, entre ellos España y buena parte de la UE.

Conseguir esos números no exige magia: basta combinar filtraciones antiguas, rastreos masivos de redes sociales y scrapers que extraen metadatos de páginas web o de grupos públicos de la aplicación. El paso siguiente es confirmar qué teléfonos están realmente registrados en WhatsApp. Para ello proliferan scripts de enumeración —algunos publicados abiertamente en repositorios de código— que mediante la API web devuelven en segundos si un número está “online” en el servicio; basta alimentar la herramienta con un listado y procesa miles de intentos por minuto.

Con los datos verificados, los delincuentes personalizan el engaño. En España han florecido variantes como el fraude del “hijo en apuros”, donde el atacante suplanta a un familiar pidiendo dinero urgente, o la cesión involuntaria del código de verificación de seis dígitos que secuestra la cuenta y permite estafar luego a toda la agenda de la víctima. El éxito de estas campañas se apoya en detalles aparentemente triviales: una foto de perfil, un nombre real o la hora a la que alguien suele conectarse ofrecen contexto suficiente para que el mensaje resulte creíble.

La ciberseguridad en este contexto no solo pasa por proteger la infraestructura, sino también por escribir código más robusto y educar al usuario. Limitar la visibilidad del número en plataformas públicas, configurar adecuadamente la privacidad en WhatsApp y evitar compartir datos sensibles por mensajería son prácticas clave. Pero a nivel empresarial, es vital implementar soluciones que detecten y bloqueen patrones anómalos de tráfico y comportamiento, cortando el ataque antes de que cause estragos.

La experiencia demuestra que un número de teléfono mal expuesto puede abrir la puerta a fraude financiero, robo de identidad y distribución de malware. Blindar esa pieza de información, por insignificante que parezca, es hoy parte esencial de la higiene digital tanto para usuarios individuales como para las empresas que confían en WhatsApp para comunicarse con empleados y clientes.