Attaullah Baig, exjefe de seguridad de WhatsApp, presentó el 8 de septiembre de 2025 una demanda en el Tribunal del Distrito Norte de California contra Meta Platforms, Inc. y otros (Mukerji, Tsimelzon, Gupta, Cathcart y Zuckerberg).
En septiembre de 2021, después de unirse a WhatsApp como jefe de seguridad, durante un ejercicio de «equipo rojo» diseñado para identificar vulnerabilidades, Baig descubrió diversos fallos sistémicos. Según la demanda, aproximadamente 1.500 ingenieros de WhatsApp tenían acceso ilimitado a datos confidenciales de los usuarios, incluidos contactos, direcciones IP, fotos de perfil y otros elementos sensibles. Baig asegura que no existían controles efectivos ni registros de auditoría sobre estas acciones, lo que contraviene prácticas básicas de gobernanza de datos y principios de privacidad por diseño. Estos ingenieros pudieron transferir o robar datos personales sin dejar rastro alguno.
Desde septiembre de 2021 hasta septiembre de 2022, Baig expresó –hasta en cinco ocasiones– su preocupación por la existencia de vulnerabilidades en el sistema a una de las ejecutivas, quien le recomendó que se centrara en aplicaciones menos críticas.
En febrero de 2022, reconociendo la urgente necesidad de una protección sistémica de los datos, Baig creó un documento integral proponiendo la implementación de un sistema de clasificación y gestión de datos para reforzar la seguridad. Sin embargo, según la demanda, sus esfuerzos chocaron con una cultura corporativa donde cuestionar decisiones previas, especialmente de superiores, era mal visto. Incluso calificó a Meta como una «secta» donde no se puede cuestionar nada.
El 18 de agosto de 2022, WhatsApp sufrió dos incidentes de seguridad que afectaron a los usuarios. Baig reveló la peligrosa falta de personal dedicado a ciberseguridad (solo diez ingenieros trabajando en seguridad, mientras que empresas de tamaño comparable necesitaban alrededor de doscientos), así como fallos sistémicos que se concretaban en:
-
Falta de inventario de datos: No existía un registro completo de los datos de los usuarios, incumpliendo leyes de privacidad como las de California, la Unión Europea (RGPD) y el acuerdo con la FTC.
-
Errores en la localización del almacenamiento de datos: WhatsApp carecía de un inventario completo de sistemas de almacenamiento de datos de usuarios, impidiendo su adecuada protección.
-
Acceso sin restricciones a los datos: Más de 1.500 ingenieros tenían acceso sin restricciones.
-
Ausencia de monitoreo de acceso: No había sistemas para supervisar quién accedía a los datos ni para detectar violaciones de seguridad.
-
Violaciones masivas de cuentas: En 2022, aproximadamente 100.000 cuentas de WhatsApp fueron hackeadas diariamente, número que según la demanda escaló a 400.000 bloqueos diarios en 2024 por robos de cuentas.
-
Scraping de perfiles: Baig estima que más de 400 millones de perfiles de usuarios, incluyendo fotos y nombres, eran copiados diariamente para su uso en estafas de suplantación. Propuso limitar el acceso a los perfiles de usuario solo a contactos, personas con mensajes previos o miembros de chats grupales. Meta rechazó su propuesta alegando que afectaría el crecimiento de los usuarios.
-
Incapacidad para detectar filtraciones de datos: WhatsApp no tenía un Centro de Operaciones de Seguridad (SOC) disponible 24/7.
El 15 de marzo de 2023, Baig se reunió con el equipo de Seguridad Central de Meta y reiteró los fallos sistémicos no resueltos, advirtiendo que la compañía «no había hecho mucho o ningún progreso en el estado de seguridad de WhatsApp».
En 2024, Baig envió una carta a Mark Zuckerberg y a la asesora general, Jennifer Newstead, alertando sobre el incumplimiento de la normativa. También acusó al equipo central de seguridad de Meta de falsificar informes de seguridad para encubrir la falta de acción frente a los riesgos.
Baig y su equipo crearon varias funciones de seguridad para reducir el daño a los usuarios, pero Meta bloqueó el lanzamiento de dichas medidas.
El 27 de noviembre de 2024, tras agotar los recursos internos y enfrentar continuas represalias, Baig presentó un Formulario TCR ante la Comisión de Bolsa y Valores, documentando las deficiencias de Meta en ciberseguridad y la falta de información a los inversores sobre riesgos sustanciales en este ámbito.
El 4 de diciembre de 2024, Baig envió una segunda carta a Mark Zuckerberg, detallando los problemas continuos y la escalada de represalias.
El 17 de enero de 2025, Baig presentó una denuncia ante la Oficina de Seguridad Ocupacional del Departamento de Trabajo y Administración de Salud (OSHA), documentando las represalias que había sufrido por informar sobre fallos de ciberseguridad y violaciones regulatorias.
La respuesta a sus acciones fue su despido en febrero de 2025 por «bajo rendimiento», a pesar de sus esfuerzos por mejorar la seguridad de WhatsApp.
Conclusión
El cifrado de extremo a extremo sigue siendo una piedra angular de la plataforma. Aunque el cifrado de mensajes de WhatsApp permanece intacto, las acusaciones de Baig se centran en metadatos, accesos indebidos y vulnerabilidades en la seguridad de las cuentas de usuario. Si se confirman, estas fallas podrían exponer a los usuarios a riesgos significativos, desde estafas hasta filtraciones de datos personales.
Por ahora, el caso está en sus primeras etapas, pero si se comprueban los hechos que fundamentan la demanda, la confianza de los usuarios en WhatsApp podría deteriorarse. Frente a WhatsApp, existen alternativas más seguras como SIGNAL.
No se pierda nuestro podcast sobre el artículo
