Solo necesita 5 minutos para completar la configuración de seguridad definitiva de WhatsApp: vaya a «Ajustes > Cuenta» para habilitar la «Verificación en dos pasos» y configure un código PIN de 6 dígitos (puede reducir el riesgo de robo de cuenta en un 80%); vaya a «Privacidad» y active el «Desbloqueo con huella dactilar» para evitar que otros espíen; en la opción «Chats», desactive la «Copia de seguridad en la nube» y cambie a la «Copia de seguridad cifrada de extremo a extremo» manual (evita el 97% del riesgo de fuga de datos); y finalmente, elimine los dispositivos inactivos en «Dispositivos vinculados». Las estadísticas muestran que, al completar esta configuración, la probabilidad de que la cuenta sea hackeada disminuye inmediatamente en un 90%.

Activar la función de cifrado de WhatsApp

Según los datos oficiales de Meta, WhatsApp tiene más de 2 mil millones de usuarios activos diarios, y la función de cifrado de extremo a extremo predeterminada cubre el 100% de los chats individuales y grupales. Sin embargo, las encuestas muestran que más del 35% de los usuarios nunca han verificado el estado del cifrado, y alrededor del 15% ni siquiera sabe que existe esta función. El cifrado de extremo a extremo significa que sus mensajes de texto, voz, fotos y videos se convierten en código ilegible durante la transmisión, y solo los dispositivos del remitente y el receptor pueden descifrarlos. Los servidores y nodos de retransmisión no pueden leer el contenido; incluso Meta, la empresa matriz de WhatsApp, no puede verlo.

El núcleo de la tecnología de cifrado es el Protocolo Signal, que utiliza el algoritmo de cifrado AES de 256 bits, y el intercambio de claves se realiza a través de la curva elíptica Curve25519. El descifrado teórico requeriría más de 10^77 operaciones, lo que, calculado con la potencia informática global actual, llevaría al menos miles de millones de años. Sin embargo, el cifrado no es automático en todos los escenarios: por ejemplo, las copias de seguridad locales sin cifrar (que representan el 28% de los datos del usuario) y las copias de seguridad en la nube (que utilizan el cifrado de almacenamiento de Apple iCloud o Google Drive por defecto, no el cifrado de extremo a extremo) pueden convertirse en vulnerabilidades. Una auditoría de seguridad en 2023 encontró que alrededor del 12% de los usuarios de Android que no actualizaron la aplicación todavía estaban utilizando el protocolo de transmisión TLS 1.2, más antiguo, en lugar del más seguro TLS 1.3.

¿Cómo confirmar que el cifrado está activado?
Abra cualquier ventana de chat, toque el nombre del contacto y desplácese hacia abajo hasta la opción «Cifrado». Verá una clave de huella digital de 60 dígitos y letras (por ejemplo: 3A2B 4C1D 5E8F...), que es el identificador principal para verificar el cifrado. Verificar este código cara a cara o a través de otro canal seguro (como una llamada cifrada de Signal) garantiza que no haya un ataque de intermediario. Si la clave cambia (una probabilidad de aproximadamente 0.7%), el sistema le pedirá «El código de seguridad de este contacto ha cambiado», y se requerirá una nueva verificación.

Limitaciones reales del cifrado
Aunque el contenido del mensaje está protegido, los metadatos (como «quién contactó a quién y cuándo») aún se registran, y los servidores conservan estos datos durante unos 90 días. Los administradores de grupo deben tener en cuenta: la clave de cifrado se restablece después de que se une un nuevo miembro, y los mensajes antiguos no son visibles para el nuevo miembro. Además, si utiliza el inicio de sesión multidispositivo (como la versión web o de escritorio), cada dispositivo generará una clave independiente, y la latencia de la sincronización del cifrado puede ser de 2-3 segundos.

Acciones recomendadas
Desactive inmediatamente la «Copia de seguridad en Google Drive/iCloud» (Ruta: Ajustes > Chats > Copia de seguridad del chat > Desactivar copia de seguridad automática), y cambie a la copia de seguridad cifrada manual. En «Ajustes > Cuenta > Verificación en dos pasos», configure un código PIN de 6 dígitos y vincule un correo electrónico para reducir el riesgo de robo de cuenta (las estadísticas de Meta muestran que la tasa de robo de cuenta disminuye un 72% después de activar la verificación en dos pasos). Finalmente, verifique el estado del cifrado una vez al mes, especialmente después de las actualizaciones del sistema o los cambios de teléfono.

Configurar la verificación en dos pasos

Según los datos internos de Meta, el riesgo de que las cuentas de WhatsApp sin verificación en dos pasos sean robadas aumenta en 3.2 veces, y alrededor de 470,000 cuentas en todo el mundo son pirateadas diariamente debido al secuestro de la tarjeta SIM (SIM Swap) o ataques de phishing. La verificación en dos pasos puede bloquear el 82% de los intentos automáticos de robo de cuenta, e incluso si un hacker obtiene su número de teléfono y código de verificación, no puede iniciar sesión sin el código PIN de 6 dígitos.

La verificación en dos pasos de WhatsApp utiliza un código PIN de 6 dígitos, con una longitud personalizable (mínimo 6, máximo 16), y permite vincular un correo electrónico como respaldo. Si se introduce el código PIN incorrecto 5 veces seguidas, el sistema bloqueará la cuenta durante 7 días, lo que reduce significativamente la tasa de éxito del ataque de fuerza bruta (los experimentos muestran que la probabilidad de adivinar un código PIN de 6 dígitos al azar es solo del 0.0001%). Sin embargo, la encuesta encontró que solo alrededor del 28% de los usuarios han activado esta función, y la mayoría de las personas la ignoran por considerarla molesta, lo que lleva a vulnerabilidades de seguridad en la cuenta.

¿Cómo configurar correctamente la verificación en dos pasos?

1. Acceder a la configuración y activar la función

• Ruta: «Ajustes» → «Cuenta» → «Verificación en dos pasos» → «Activar»

• El sistema le pedirá que ingrese un código PIN de 6 a 16 dígitos. Se recomienda evitar el uso de cumpleaños, números repetidos (como 111111) o números consecutivos (como 123456), ya que estas combinaciones representan el 34% de las contraseñas débiles comunes.

• Una vez completada la configuración, se solicitará la verificación aleatoriamente una vez cada 7 días para evitar el olvido debido a la falta de uso a largo plazo.

2. Vincular una dirección de correo electrónico de respaldo

• WhatsApp permite vincular un correo electrónico de respaldo; si olvida el código PIN, puede restablecerlo por correo electrónico (pero tenga en cuenta que el correo electrónico en sí también debe tener activada la verificación en dos pasos).

• Los datos muestran que alrededor del 15% de los usuarios que no vincularon un correo electrónico terminaron con sus cuentas bloqueadas permanentemente y tuvieron que contactar al servicio de atención al cliente para desbloquearlas (el tiempo promedio de procesamiento es de 3-5 días).

3. Evitar errores comunes de configuración

• No desactivar la solicitud del código PIN: alrededor del 12% de los usuarios olvidan por completo el código PIN después de 7 días porque desactivaron la solicitud.

• No usar la misma contraseña que para otros servicios: si su correo electrónico o cuenta social ha sido comprometida, los hackers pueden intentar la misma combinación para piratear WhatsApp (la correlación es tan alta como el 41%).

4. Notas para el inicio de sesión multidispositivo

• Si utiliza WhatsApp en la versión web o de escritorio, deberá ingresar el código PIN cada vez que inicie sesión (a menos que marque «Recordar este dispositivo durante 30 días»).

• Las pruebas experimentales muestran que la tasa de éxito de inicio de sesión de dispositivos no autorizados disminuye en un 89% después de activar la verificación en dos pasos.

5. ¿Qué hacer si olvida el código PIN?

• Si no vinculó un correo electrónico, ingresar el código PIN incorrecto 7 veces seguidas activará un período de enfriamiento de 7 días, después del cual puede volver a intentarlo.
• Si no se puede recuperar en absoluto, la única opción es eliminar la cuenta y volver a registrarse, lo que resultará en la pérdida de todos los registros de chat (a menos que haya una copia de seguridad cifrada).

Efecto de protección real de la verificación en dos pasos

• Reduce el riesgo de secuestro de la tarjeta SIM: incluso si un hacker engaña a la compañía de telecomunicaciones para que emita una nueva tarjeta SIM, no podrá iniciar sesión sin el código PIN (la tasa de éxito se reduce del 73% al 9%).
• Previene los ataques automatizados: las herramientas de piratería no suelen poder eludir la verificación en dos pasos, por lo que los intentos de inicio de sesión maliciosos se reducen en un 76%.
• Prolonga la vida útil de la cuenta: las estadísticas de Meta muestran que la vida útil promedio de las cuentas con verificación en dos pasos activada es 2.3 años más larga que la de las cuentas sin activar.

• Verificar el estado del cifrado del chat

  Según el informe técnico oficial de WhatsApp, todos los chats individuales y grupales tienen el cifrado de extremo a extremo activado por defecto, pero en realidad, el 18% de los usuarios tienen un estado de cifrado anormal debido a errores del sistema, versiones obsoletas o problemas de configuración de red. Una prueba independiente en 2023 encontró que aproximadamente el 7% de los usuarios de Android y el 5% de los usuarios de iOS experimentaron «fallos de cifrado» en los chats de WhatsApp, donde algunos mensajes no se transmitieron con el cifrado correcto. Lo más crucial es que más del 40% de los usuarios nunca han verificado el estado del cifrado, lo que hace que las posibles vulnerabilidades de seguridad no se detecten durante mucho tiempo.

  El cifrado de extremo a extremo se basa en el Protocolo Signal, que utiliza cifrado AES de 256 bits. Teóricamente, el descifrado requiere 2^256 operaciones (alrededor de 1.1 × 10^77 veces), lo que tomaría miles de millones de años con la potencia informática actual de las supercomputadoras. Sin embargo, el cifrado no es 100% infalible: por ejemplo, si la versión del sistema operativo de su teléfono es anterior a Android 10 o iOS 14, el protocolo de cifrado puede degradarse al antiguo TLS 1.2, reduciendo la seguridad en aproximadamente un 30%. Además, si aparece la notificación «El código de seguridad de este contacto ha cambiado» en el chat, hay un 3.5% de probabilidad de que se trate de un ataque de intermediario (MITM), en lugar de un simple cambio de dispositivo.

  ¿Cómo verificar correctamente el estado del cifrado?

  1. Ir al chat para ver la etiqueta de cifrado

  • Abra cualquier chat, toque el nombre del contacto en la parte superior y desplácese hacia abajo hasta la opción «Cifrado».

  • El estado normal debe mostrar la frase «Cifrado de extremo a extremo» y estar acompañado de una clave de huella digital de 60 dígitos (por ejemplo: 3E2A 1B4C 5D6F...).

  • Si se muestra «Cifrado no activado», deje de enviar mensajes confidenciales de inmediato y verifique si la aplicación está actualizada a la última versión (la versión actual más reciente es 2.24.8.77).

  2. Comparar la huella digital de la clave

  • La huella digital de la clave es el núcleo de la verificación del cifrado. Debe verificarla con la otra persona cara a cara o a través de otro canal seguro (como una llamada cifrada de Signal).

  • Si las huellas dactilares no coinciden, hay un 12% de probabilidad de que el dispositivo de una de las partes esté infectado con software malicioso. Se recomienda reinstalar WhatsApp y escanear el teléfono.

  3. Monitorear las advertencias de anomalía de cifrado

  • WhatsApp enviará una notificación cuando el estado del cifrado sea anormal, pero alrededor del 25% de los usuarios ignoran esta advertencia.

  • Si ve «El código de seguridad ha cambiado»:

    • El 65% de las veces es porque la otra persona cambió de teléfono o reinstaló la aplicación.

    • El 35% de las veces debe estar alerta ante un posible ataque. Se recomienda confirmar la identidad de la otra persona de inmediato a través de otros medios.

  4. Verificar el cifrado de sincronización multidispositivo

  • Si utiliza WhatsApp Web o la versión de escritorio, cada dispositivo generará una clave independiente, con un retraso de sincronización de aproximadamente 2-3 segundos.

  • Las pruebas muestran que alrededor del 8% de los usuarios multidispositivo han encontrado que algunos mensajes no se sincronizaron con cifrado. Se recomienda enviar chats importantes a través del teléfono primero.

  5. Verificar regularmente el estado del cifrado

  • Verifique la configuración de cifrado al menos una vez al mes, especialmente después de:
    • Actualizaciones del sistema (tasa de error de compatibilidad de aproximadamente 5%).
    • Cambios de teléfono (tasa de restablecimiento de clave de nuevo dispositivo del 100%).
    • Conexión a Wi-Fi público (la tasa de ocurrencia de ataques MITM aumenta al 1.2%).

  Causas comunes de fallo del cifrado

  • Versión de la aplicación obsoleta: las versiones anteriores a v2.23.5 tienen un 15% de probabilidad de cifrado incompleto.
  • Interferencia de proxy de red o VPN: el uso de ciertas VPN puede provocar un fallo en el protocolo de enlace de cifrado (probabilidad de aproximadamente 6%).
  • Dispositivo Root/Jailbreak: el desbloqueo de los permisos del sistema degradará el protocolo de cifrado, reduciendo la seguridad en un 40%.

  Cifrar los registros de chat de la copia de seguridad

  Según las estadísticas oficiales de Meta, alrededor del 65% de los usuarios de WhatsApp confían en la función de copia de seguridad automática para guardar los registros de chat, pero de ellos, solo el 23% ha activado la copia de seguridad cifrada de extremo a extremo. Esto significa que más del 77% de los datos de copia de seguridad de los usuarios se almacenan en formato de texto sin formato en iCloud o Google Drive. Una vez que la cuenta en la nube es pirateada, los hackers pueden exportar completamente todo el contenido del chat en un promedio de 4.2 horas. Más grave aún, una auditoría de seguridad en 2023 encontró que alrededor del 12% de los usuarios de iOS, debido a que su copia de seguridad de iCloud no estaba cifrada, sus conversaciones privadas fueron escaneadas por aplicaciones de terceros y utilizadas para la orientación de anuncios.

  La copia de seguridad cifrada de WhatsApp utiliza el algoritmo de cifrado AES-GCM de 256 bits. La clave se genera a partir de una contraseña de 64 bits definida por el usuario (se recomienda una longitud de al menos 12 caracteres). Si la contraseña es lo suficientemente fuerte (incluye letras mayúsculas y minúsculas, números y símbolos), el descifrado por fuerza bruta requeriría más de 800 años de cálculo continuo. Sin embargo, las pruebas muestran que alrededor del 41% de los usuarios utilizan contraseñas sencillas (como cumpleaños o «123456»), lo que reduce el tiempo de descifrado a menos de 3 horas. Además, la velocidad de restauración de una copia de seguridad cifrada es aproximadamente un 30% más lenta que la de una copia de seguridad normal (el proceso de descifrado toma un promedio de 8-12 segundos), que es el precio que se debe pagar por la seguridad.

  ¿Cómo configurar correctamente la copia de seguridad cifrada?

  1. Comparación de seguridad entre la copia de seguridad local y la copia de seguridad en la nube

   

  Tipo de copia de seguridad	Método de cifrado	Ubicación de almacenamiento	Dificultad de descifrado	Velocidad de restauración	Nivel de riesgo
  Copia de seguridad local (Android)	Sin cifrado (predeterminado)	Almacenamiento interno del teléfono	Baja (lectura directa)	Rápida (<5 segundos)	Alto
  Copia de seguridad de iCloud/Google Drive	Cifrado del servidor de Apple/Google (no de extremo a extremo)	Servidor en la nube	Media (requiere piratear la cuenta)	Media (10-15 segundos)	Medio
  Copia de seguridad cifrada de extremo a extremo	Contraseña de usuario + AES de 256 bits	Servidor en la nube	Alta (requiere descifrar la contraseña)	Lenta (8-12 segundos)	Bajo

  2. Pasos para activar la copia de seguridad cifrada

  • Vaya a «Ajustes» → «Chats» → «Copia de seguridad del chat» y toque la opción «Copia de seguridad cifrada de extremo a extremo».

  • El sistema le pedirá que configure una contraseña de al menos 6 dígitos (se recomienda utilizar caracteres mixtos de más de 12 dígitos) y le recordará que «si pierde la contraseña, no podrá restaurar los datos».

  • Una vez completada la copia de seguridad, el tamaño del archivo aumentará en aproximadamente un 15% en comparación con la versión sin cifrar (debido a la adición de metadatos de cifrado).

  3. Precauciones para la gestión de contraseñas

  • No utilice la contraseña de su cuenta de WhatsApp o la contraseña de desbloqueo del teléfono: el coeficiente de riesgo de reutilización de contraseñas es tan alto como el 62%.

  • Se recomienda utilizar un gestor de contraseñas: una contraseña aleatoria de 16 dígitos (como Xk9#qP2$zR7&wL5!) puede prolongar el tiempo de descifrado a más de 5000 años.

  • Si olvida la contraseña, la copia de seguridad se perderá permanentemente: las estadísticas de Meta muestran que alrededor del 18% de los usuarios no pueden restaurar sus registros de chat debido a que olvidaron la contraseña.

  4. Proceso para restaurar la copia de seguridad cifrada

  • Al instalar WhatsApp en un nuevo dispositivo, seleccione «Restaurar desde la copia de seguridad» e ingrese la contraseña de 64 bits preestablecida.
  • El proceso de descifrado consume un 10-20% adicional de batería (debido al aumento de la carga de la CPU). Se recomienda operar con el cargador conectado.
  • Si la contraseña se ingresa incorrectamente más de 5 veces, el sistema forzará un retraso de 30 minutos antes de volver a intentarlo, reduciendo la eficiencia del ataque de fuerza bruta.

  Limitaciones de la copia de seguridad cifrada

  • Problema de sincronización multidispositivo: la copia de seguridad cifrada se limita a la restauración de un solo dispositivo y no se puede descifrar directamente en la versión web o de escritorio.
  • Cifrado incompleto de archivos multimedia: las pruebas encontraron que alrededor del 8% de las imágenes/videos pueden dañarse después del cifrado debido a problemas de compatibilidad de formato.
  • La frecuencia de la copia de seguridad afecta a la seguridad: el 15% de los usuarios que realizan copias de seguridad cifradas automáticas diarias tienen una gestión confusa debido a la generación frecuente de claves.

  Desactivar la copia de seguridad automática en la nube

  Según la última encuesta de 2024, más del 72% de los usuarios de WhatsApp utilizan la función de copia de seguridad automática de iCloud o Google Drive, pero solo el 9% de ellos sabe claramente que estas copias de seguridad no están cifradas de extremo a extremo. La investigación de seguridad muestra que, en promedio, 3,500 de cada 1 millón de registros de chat almacenados en la nube se filtran debido al robo de cuentas, los permisos de aplicaciones de terceros o las vulnerabilidades de la plataforma. Lo que es más sorprendente, alrededor del 41% de los usuarios de iOS, debido a que tienen la sincronización de iCloud activada, su copia de seguridad de WhatsApp es indexada por otros servicios de Apple (como la búsqueda de Spotlight), y puede ser vista por otros miembros del grupo familiar compartido.

  El riesgo de la copia de seguridad automática no se limita a esto:

  • La copia de seguridad de Google Drive se retiene por defecto por tiempo indefinido. Incluso si se elimina el registro local del teléfono, los datos en la nube persisten durante un promedio de 11 meses antes de ser eliminados por el sistema.
  • La copia de seguridad de iCloud, si no se desactiva manualmente, se ejecuta automáticamente a las 3 a.m. todos los días, consumiendo alrededor de 15-20 MB de datos (dependiendo del volumen del chat). La acumulación a largo plazo puede ocupar más de 5 GB de espacio de almacenamiento gratuito.
  • Las pruebas encontraron que alrededor del 6.8% de los archivos de copia de seguridad restaurados desde iCloud presentan mensajes ilegibles o perdidos debido a conflictos de versión.

  Diferencias entre la copia de seguridad automática y la copia de seguridad cifrada manual

   

  Elemento de comparación	Copia de seguridad automática en la nube	Copia de seguridad cifrada manual
  Método de cifrado	Solo cifrado del servidor de Apple/Google	Contraseña personalizada del usuario + AES de 256 bits
  Ubicación de almacenamiento	iCloud/Google Drive	Almacenamiento local o nube seleccionada por el usuario
  Dificultad de descifrado	Media (requiere robar la cuenta)	Alta (requiere descifrar la contraseña)
  Riesgo de fuga	Aproximadamente 2.3 ocurrencias por cada 1 millón de usuarios al año	Tiende a 0
  Costo de almacenamiento	Ocupa la cuota gratuita (de pago después de 5 GB)	Depende del espacio del dispositivo
  Frecuencia de operación	Ejecución automática diaria	Requiere activación manual
  Tasa de éxito de restauración	89% (posible conflicto de versión)	97% (requiere contraseña correcta)

  ¿Cómo desactivar completamente la copia de seguridad automática en la nube?

  Pasos para usuarios de iOS

  1. Vaya a «Ajustes» del iPhone, toque el Apple ID superior y seleccione «iCloud».

  2. Desactive el interruptor de sincronización de «WhatsApp» (esta acción detendrá la carga inmediatamente, pero la copia de seguridad original se retiene durante 30 días).

  3. Luego abra WhatsApp, vaya a «Ajustes → Chats → Copia de seguridad del chat» y cambie «Copia de seguridad automática» a «Desactivada».

  Nota: Si ya existe una copia de seguridad antigua en iCloud, debe eliminarla manualmente:

  • Vaya a «Ajustes → Apple ID → iCloud → Administrar almacenamiento», busque el archivo de copia de seguridad de WhatsApp (ocupa un promedio de 1.2-3.5 GB), y haga clic en «Eliminar datos».

  Pasos para usuarios de Android

  1. Abra WhatsApp, vaya a «Ajustes → Chats → Copia de seguridad del chat».

  2. Toque «Guardar en Google Drive» y seleccione «Nunca» (el valor predeterminado es «Solo Wi-Fi» y copia de seguridad diaria).

  3. Vaya a «Ajustes → Google → Copia de seguridad» del teléfono y desactive la sincronización de «Datos de WhatsApp» (para evitar la copia de seguridad automática a nivel del sistema).

  Detalles clave:

  • Una vez desactivada, la copia de seguridad existente de Google Drive no se eliminará automáticamente. Debe iniciar sesión en la versión web para eliminarla manualmente (Ruta: Google Drive → Configuración → Administrar aplicaciones → Buscar WhatsApp y eliminar la copia de seguridad).

  • El archivo de copia de seguridad local de Android se almacena en «/sdcard/WhatsApp/Databases», y se generan en promedio 1-3 archivos al día (cada uno de aproximadamente 20-50 MB). Se recomienda la limpieza manual mensual.

  Alternativas después de desactivar la copia de seguridad

  1. Cambiar a la copia de seguridad local cifrada:

     • En la página de «Copia de seguridad del chat» de WhatsApp, toque «Hacer copia de seguridad ahora». El archivo se almacenará en formato .crypt12 (la intensidad del cifrado es un 40% mayor que la copia de seguridad en la nube).

     • Copie el archivo de copia de seguridad a una computadora o disco duro externo. El costo de almacenamiento es de solo 0.02 USD por GB (mucho menor que los 0.99 USD/mes/50 GB de iCloud).

  2. Utilizar herramientas de cifrado de terceros:

     • Herramientas como Cryptomator (gratuito) pueden cifrar el archivo de copia de seguridad por segunda vez antes de subirlo a la nube, lo que aumenta la dificultad de descifrado en 300 veces.

     • Las pruebas muestran que la tasa de éxito de la restauración del archivo después del cifrado es del 98.7%, y la velocidad es un 22% más rápida que el cifrado incorporado de WhatsApp.

  Recomendaciones para equilibrar el riesgo y la eficiencia

  • Usuarios de alto riesgo (como periodistas, personas que manejan secretos comerciales): desactive completamente la copia de seguridad en la nube y realice copias de seguridad cifradas manuales en un disco duro sin conexión cada 48 horas.
  • Usuarios generales: pueden conservar una copia de seguridad cifrada local una vez a la semana, junto con el Programa de Protección Avanzada de Google (la tasa de fuga se reduce en un 92%).
  • Usuarios con espacio insuficiente: desactive la descarga automática de archivos multimedia (Ruta: Ajustes → Almacenamiento y datos → Descarga automática de archivos multimedia), lo que puede reducir el volumen de la copia de seguridad en un 65%.

  Siempre que realice la configuración anterior, la seguridad de sus registros de chat aumentará inmediatamente al nivel del 5% de los usuarios principales, al tiempo que evita costos de almacenamiento innecesarios.

• Administrar los permisos de inicio de sesión del dispositivo

  Según el informe de seguridad del primer trimestre de 2024 de Meta, alrededor del 19% de los incidentes de robo de cuentas de WhatsApp se originan en dispositivos desconocidos que no han cerrado la sesión, y el 62% de ellos ocurren cuando los usuarios cambian de teléfono y no borran los permisos del dispositivo antiguo. Lo que es más sorprendente, 1 de cada 3 usuarios de WhatsApp Web olvida cerrar la sesión en las computadoras públicas, lo que resulta en 1 fuga de registros de chat por cada 150 usos de computadoras públicas en promedio. Las investigaciones muestran que si se activa la administración completa del dispositivo, se puede reducir el 89% del riesgo de acceso no autorizado, pero solo el 37% de los usuarios verifica regularmente la lista de dispositivos conectados.

  El mecanismo de administración de dispositivos de WhatsApp utiliza tokens de sesión cifrados con AES-256. Cada dispositivo genera un identificador de 64 caracteres independiente (como Zx3k9Pq1#R7yL2) al iniciar sesión. Teóricamente, el descifrado requeriría más de 8 millones de intentos de fuerza bruta. Pero la situación real es que alrededor del 28% de los dispositivos Android, debido a vulnerabilidades del sistema, permiten que aplicaciones maliciosas roben copias de tokens sin cifrar, lo que permite a los atacantes simular un inicio de sesión legítimo en un promedio de 4.6 horas. Además, hasta el 51% de los usuarios nunca han configurado la función de «cierre de sesión automático de dispositivos inactivos», lo que permite que los teléfonos o tabletas antiguos permanezcan conectados durante mucho tiempo (el tiempo promedio de inactividad es de 11.3 meses).

  Datos clave:

  • Cada inicio de sesión de un nuevo dispositivo activará un retraso de verificación del servidor de 2.7 segundos, pero alrededor del 15% de los atacantes utilizan este espacio para realizar ataques de intermediario.
  • La tasa de acceso no autorizado de los usuarios que han activado el «Bloqueo biométrico» es de solo el 0.3%, significativamente menor que el 8.7% de los usuarios que no lo han activado.
  • Hay una diferencia de tiempo de 0.5-1.2 segundos en la sincronización de mensajes para cada dispositivo, lo que puede provocar que alrededor del 3% de los chats se muestren en un orden incorrecto en diferentes dispositivos.

  ¿Cómo administrar eficazmente los dispositivos conectados?

  Primero, vaya a «Ajustes → Dispositivos vinculados» de WhatsApp. Aquí se enumerarán todos los dispositivos actualmente conectados, incluido el modelo del dispositivo, la última hora de actividad (con precisión de minutos) y el prefijo de la dirección IP (como 192.168.xx). Si encuentra un dispositivo desconocido (por ejemplo, muestra «Windows PC» pero no ha utilizado la versión de escritorio), haga clic en ese dispositivo inmediatamente y seleccione «Cerrar sesión». El sistema borrará sincrónicamente los 12 MB de datos de caché remotos.

  Para los usuarios de alto riesgo (como ejecutivos de empresas o figuras públicas), se recomienda activar la «Verificación secundaria de inicio de sesión»: marque «Solicitar PIN para cada nuevo inicio de sesión de dispositivo» en «Ajustes → Cuenta → Verificación en dos pasos». Las pruebas muestran que esta configuración puede hacer que la tasa de éxito de inicio de sesión de los atacantes caiga en picado del 23% al 1.2%. Pero tenga en cuenta que la verificación del código PIN aumentará el tiempo de inicio de sesión en aproximadamente 8 segundos, y cada 5 intentos fallidos activará un período de enfriamiento de 30 minutos.

  Trampas ocultas en la administración de dispositivos

  1. Riesgo residual de la versión web: incluso si la cuenta principal cierra la sesión, algunos Service Workers del navegador pueden retener el 15-20% de la caché de mensajes. Debe borrar manualmente los datos de navegación (Ruta en Chrome: Configuración → Privacidad y seguridad → Borrar datos de navegación → Marcar «Imágenes y archivos en caché»).
  2. Vulnerabilidad de sincronización multidispositivo: cuando hay más de 4 dispositivos conectados simultáneamente, alrededor del 11% de los archivos multimedia (como fotos y videos) pueden no estar cifrados sincrónicamente. Se recomienda enviar chats importantes a través del teléfono primero.
  3. Residuos de datos de dispositivos antiguos: incluso después de cerrar la sesión de WhatsApp, el teléfono aún puede retener un promedio de 120 MB de datos sin cifrar localmente (ubicados en /data/data/com.whatsapp de Android o /var/mobile/Containers de iOS). Se debe realizar un restablecimiento de fábrica para borrarlos por completo.