WhatsApp y Signal se han consolidado como sinónimos de mensajería “segura” para millones de usuarios, en gran parte gracias al cifrado de extremo a extremo. Pero una nueva alerta recuerda una realidad incómoda: aunque el contenido vaya protegido, los metadatos y el comportamiento del sistema pueden seguir filtrando información sensible. La última prueba llega desde la comunidad de investigación y seguridad: una implementación proof of concept (PoC) publicada en GitHub muestra cómo es posible inferir el estado de actividad de un dispositivo —si está activo, en reposo o desconectado— midiendo el tiempo de respuesta de ciertas confirmaciones internas.
La historia la ha recogido el medio alemán heise, que explica que el método se apoya en un trabajo académico de la Universidad de Viena y SBA Research, presentado inicialmente en noviembre de 2024 y publicado como investigación formal bajo el título Careless Whisper. Su tesis central es que determinados recibos de entrega/confirmación en mensajería móvil pueden convertirse en un canal lateral explotable: el atacante no necesita leer mensajes, solo “provocar” respuestas silenciosas y medir sus tiempos de ida y vuelta (round-trip time, RTT). A partir de esa telemetría, se pueden reconstruir patrones de actividad. Y lo más inquietante: el objetivo puede ser “pingueado” solo con conocer su número de teléfono.
De los “ticks” a los relojes: cuando el tiempo revela más de lo que parece
El enfoque no gira en torno a los clásicos recibos de lectura visibles (los “ticks azules”), sino a confirmaciones técnicas que el cliente devuelve para mantener la coherencia del servicio. El PoC —conocido como device activity tracker— automatiza la medición del RTT y aplica una lógica estadística para clasificar el estado del terminal. En términos periodísticos, lo importante no es la fórmula exacta, sino su consecuencia: el tiempo de respuesta cambia cuando el teléfono está en la mano y la app en primer plano, cuando la pantalla está apagada o cuando el dispositivo se encuentra en otra condición de conectividad.
El propio paper Careless Whisper subraya que las apps de mensajería superan los 3.000 millones de usuarios a escala global, y advierte de que este tipo de fugas, aunque parezcan pequeñas, se amplifican por volumen: un canal lateral que funciona “sin avisos” puede ser escalable y útil para vigilancia, perfilado o acoso. Además, la investigación describe que el fenómeno no solo permitiría inferir actividad (pantalla encendida/apagada), sino también extraer señales sobre el entorno del usuario —por ejemplo, cambios de red— y, en escenarios extremos, lanzar ataques de desgaste de recursos si se abusa del mecanismo de confirmaciones.
Una herramienta en GitHub y una presión indirecta sobre las plataformas
La publicación del PoC ha reactivado el debate sobre la responsabilidad de las plataformas cuando un vector pasa del laboratorio a una herramienta reproducible. En GitHub, el repositorio se presenta explícitamente como una demostración “educativa y de investigación”, pero su mera existencia pone a WhatsApp y Signal en una posición incómoda: el problema deja de ser teórico y se convierte en un riesgo con impacto real.
heise añade un dato relevante: los autores señalan que, a diciembre de 2025, la vulnerabilidad seguiría siendo explotable. El medio también afirma haber preguntado a WhatsApp y Signal por posibles soluciones y plazos. En el caso de WhatsApp, la respuesta recibida —según su crónica— habría sido de tipo automatizado y sin comprometer fechas; además, la compañía se habría mantenido ambigua sobre los umbrales que activan ciertas defensas contra abuso.
Qué puede hacer un usuario: mitigaciones parciales, no una cura
Aquí llega la parte frustrante para el usuario medio: no hay un “botón mágico” que elimine por completo un canal lateral si el protocolo o el comportamiento del cliente no cambia. Aun así, existen medidas defensivas que pueden reducir la superficie de ataque, especialmente si el vector requiere que el atacante pueda interactuar repetidamente con la cuenta.
WhatsApp, por ejemplo, dispone de una opción para bloquear altos volúmenes de mensajes de cuentas desconocidas dentro de los ajustes avanzados de privacidad. La propia plataforma explica cómo activar esta función, pensada para frenar abuso y spam de alta frecuencia. El límite es evidente: WhatsApp no detalla públicamente el umbral exacto que dispara el bloqueo, por lo que la protección es real, pero no garantiza que un actor insistente no logre recopilar señales antes de ser frenado.
También conviene desmontar un mito: desactivar los recibos de lectura puede ayudar a la privacidad cotidiana, pero, según el análisis del PoC y la investigación académica, no protege necesariamente frente a este tipo de medición basada en confirmaciones técnicas.
Signal, por su parte, no destaca por ofrecer un ajuste equivalente que neutralice de forma clara esta clase de canal lateral. Eso no significa que sea “menos seguro” en términos de cifrado —la criptografía y el diseño del protocolo de Signal siguen considerándose referencia—, pero sí pone el foco en un punto concreto: incluso productos reputados pueden tener fugas de metadatos si ciertas respuestas internas se mantienen como están.
Lo que está en juego: privacidad conductual, no solo privacidad del contenido
Este caso obliga a ampliar la definición práctica de privacidad. En 2025, el usuario ya no solo se pregunta “¿pueden leer mis mensajes?”, sino “¿pueden inferir mi rutina?”. La diferencia es más que semántica: en contextos de violencia digital, acoso escolar, control coercitivo o vigilancia no autorizada, un patrón de actividad puede ser información extremadamente sensible aunque el chat permanezca cifrado.
La lectura de fondo es clara: si los navegadores se están convirtiendo en “el panel de control” de la vida digital, la mensajería es su sistema nervioso. Y cuando el sistema nervioso emite señales temporales aprovechables, el problema deja de ser técnico para convertirse en social. De ahí que los investigadores pidan un cambio de diseño: que las confirmaciones silenciosas no sean utilizables como señal estable para inferir estados del dispositivo.
Mientras llega (o no) una corrección, queda una recomendación prudente: revisar ajustes de privacidad, limitar interacciones desde números desconocidos y recordar que el cifrado, por sí solo, no resuelve el problema de los metadatos.
Preguntas frecuentes
¿Pueden “rastrearme” en WhatsApp o Signal solo con mi número de teléfono?
La investigación y el PoC sugieren que, si un atacante puede forzar ciertas confirmaciones silenciosas y medir su latencia, podría inferir patrones de actividad del dispositivo. No implica leer mensajes, pero sí extraer señales de comportamiento.
¿Sirve desactivar los “ticks azules” para evitar este tipo de seguimiento?
Ayuda en privacidad diaria, pero los autores indican que no sería una protección completa frente a este vector, porque se apoya en confirmaciones técnicas, no en el “visto” tradicional.
¿Qué ajuste de WhatsApp puede reducir el riesgo frente a abuso desde números desconocidos?
Activar el bloqueo de altos volúmenes de mensajes de cuentas desconocidas en la sección avanzada de privacidad puede dificultar ataques de alta frecuencia, aunque WhatsApp no publica el umbral exacto.
¿Qué deberían hacer familias y centros educativos ante este tipo de riesgos?
Actualizar el enfoque de educación digital: además de “contenido”, enseñar a entender metadatos (actividad, exposición del número, interacción con desconocidos) y a configurar privacidad como hábito básico.
Fuente: Noticias sobre seguridad
