É seguro usar o WhatsApp?

Um novo processo judicial(nova janela) coloca a segurança do WhatsApp de volta aos holofotes. Attaullah Baig, ex-chefe de segurança do aplicativo, alega que a Meta ignorou falhas críticas que permitem que centenas de funcionários acessem dados confidenciais de usuários e não conseguiu impedir hacks de contas em massa. A Meta nega as alegações, mas para os 3 bilhões de usuários do WhatsApp(nova janela), a pergunta é a mesma: O WhatsApp é realmente seguro de usar?

• O WhatsApp é seguro para chats privados?
• Por que a Meta está sendo processada por preocupações com a privacidade do WhatsApp?
• Quais são os riscos de segurança e privacidade do WhatsApp?
  • Malware e spyware
  • Exploits de clique zero
  • Troca de SIM e golpes de código de verificação
  • Metadados expostos
  • Exposição em massa de 3,5 bilhões de números de telefone do WhatsApp
  • Anúncios direcionados em todas as plataformas da Meta
  • Treinamento da Meta AI
• Como ficar seguro no WhatsApp
• Escolha um aplicativo de mensagens instantâneas mais privado

O WhatsApp é seguro para chats privados?

Apesar das alegações do processo, a criptografia de ponta a ponta (E2EE) do WhatsApp permanece intacta. Nada sugere que o protocolo de criptografia do WhatsApp tenha sido quebrado ou que a Meta possa ler o conteúdo de suas conversas. Isso significa que seus textos, fotos e chamadas de voz ainda estão protegidos contra acesso externo, incluindo a própria Meta.

No entanto, o WhatsApp pode ler seus metadados (com quem você está falando, quando, etc.) e, dependendo de onde você mora, compartilha esses dados com a Meta. Portanto, sua segurança depende de quanta informação você deseja manter privada.

Por que a Meta está sendo processada por preocupações com a privacidade do WhatsApp?

Attaullah Baig, que liderou a equipe de segurança do WhatsApp entre 2021 e 2025, diz que o aplicativo não é nem de longe tão privado quanto a Meta afirma. Em seu processo, ele alega que cerca de 1.500 funcionários têm acesso a informações confidenciais do usuário, incluindo localização, fotos de perfil, participações em grupos e listas de contatos.

Se essas alegações forem verdadeiras, elas esclareceriam a posição do WhatsApp sobre a criptografia de ponta a ponta(nova janela): Suas mensagens são privadas, mas sua localização, fotos de perfil, participações em grupos e listas de contatos são jogo limpo. Esse tipo de acesso irrestrito abre as portas para ameaças internas e vazamentos de dados, onde informações confidenciais podem ser roubadas e vendidas na dark web.

O ex-chefe de segurança argumenta que esse nível de acesso também pode violar uma ordem vinculativa do governo dos EUA que forçou a Meta (então Facebook) a pagar uma multa recorde de US$ 5 bilhões em 2020(nova janela) após o escândalo da Cambridge Analytica.

Ele também alega que a empresa ignorou mais de 100.000 invasões de contas diárias e rejeitou suas correções propostas. De acordo com o processo, quando Baig levantou essas preocupações com a liderança sênior, incluindo Mark Zuckerberg, a Meta o demitiu.

A Meta negou as alegações de Baig e atribuiu sua demissão ao mau desempenho. As alegações também atraíram atenção política, com senadores pressionando Zuckerberg(nova janela) por respostas sobre as práticas de segurança do WhatsApp.

O processo de Baig ocorre apenas alguns dias depois que um grupo de seis atuais e ex-funcionários da Meta(nova janela) alegou que a empresa encobriu evidências de crianças sendo expostas a aliciamento, assédio e violência em suas plataformas de realidade virtual. A Meta também negou essas alegações.

Quais são os riscos de segurança e privacidade do WhatsApp?

Com o manuseio dos dados do usuário pelo WhatsApp sob os holofotes, aqui estão os riscos de segurança e privacidade que você pode enfrentar ao usar este aplicativo:

Malware e spyware

Aplicativos ou links maliciosos podem instalar spyware em seu telefone, permitindo que invasores interceptem mensagens ou códigos. Um exemplo é o PixPirate(nova janela), um malware Android detectado pela primeira vez no Brasil, onde teve como alvo o sistema de pagamento instantâneo do país, o Pix. Desde então, foi observado na Índia, México e Itália. Seu objetivo é roubar credenciais bancárias, interceptar códigos de autenticação de dois fatores (A2F), iniciar transferências Pix não autorizadas da conta de uma vítima e bloquear tentativas de desinstalá-lo ou desativar o Google Play Protect.

Os invasores usaram o WhatsApp para espalhar o PixPirate. Se o malware não detectar o WhatsApp no dispositivo(nova janela), ele o baixará para enviar mais links maliciosos aos contatos.

Exploits de clique zero

Em 2025, pesquisadores descobriram um ataque de clique zero que permitia que hackers invadissem iPhones e Macs através do WhatsApp(nova janela) sem que os usuários clicassem em nada. O exploit combinou duas falhas: uma em como o macOS e o iOS processavam imagens e outra no recurso de vinculação de dispositivos do WhatsApp.

Cibercriminosos podiam entregar spyware aos usuários da Apple por meio de mensagens do WhatsApp e roubar dados de seus dispositivos, incluindo mensagens. A Meta disse que menos de 200 usuários foram afetados, e tanto a Apple quanto o WhatsApp corrigiram as vulnerabilidades desde então.

No mesmo ano, uma vulnerabilidade de clique zero separada afetou dispositivos Samsung (CVE-2025-21042(nova janela)). Os invasores podiam comprometer telefones Galaxy enviando um arquivo de imagem malicioso, e nenhuma interação era necessária. Esse exploit foi usado em campanhas de spyware direcionadas até que a Samsung corrigiu o problema em sua atualização de segurança de abril de 2025.

Troca de SIM e golpes de código de verificação

Os invasores podem enganar sua operadora de celular para transferir seu número de telefone para um novo cartão SIM que eles controlam. Em seguida, eles podem enganá-lo para que compartilhe o código de seis dígitos que o WhatsApp envia por SMS ao configurar um novo dispositivo. Se você entregá-lo, agentes mal-intencionados podem sequestrar sua conta, bloqueá-lo, roubar sua identidade e usar seu perfil para aplicar golpes em seus contatos. A polícia em Southwark, Londres, relatou um aumento desses ataques em 2021(nova janela), alertando as pessoas para nunca compartilharem seus códigos do WhatsApp.

Metadados expostos

Os chats podem ser criptografados de ponta a ponta, mas o WhatsApp (e sua empresa controladora, a Meta) ainda coleta metadados — como com quem você fala, com que frequência, detalhes do seu dispositivo e localização. Os metadados não podem ser usados para identificá-lo diretamente, mas podem ser cruzados com outras informações para reidentificá-lo(nova janela). E como a Meta está sediada nos EUA, ela pode compartilhar tudo o que sabe sobre você com o governo dos EUA sem aviso prévio.

Exposição em massa de 3,5 bilhões de números de telefone do WhatsApp

Em 2025, um grupo de pesquisadores austríacos independentes descobriu(nova janela) uma falha de privacidade no WhatsApp que lhes permitiu recuperar 3,5 bilhões de números de telefone — juntamente com fotos de perfil, detalhes do dispositivo, carimbos de data/hora, texto “sobre” e informações comerciais — usando um método de enumeração de telefone facilmente reproduzível. A mesma vulnerabilidade foi relatada pela primeira vez em 2017, mas a Meta não a resolveu. É importante ressaltar que nenhuma violação de dados confirmada do WhatsApp foi relatada publicamente como tendo explorado esse método específico.

Embora seu número de telefone e metadados não o identifiquem diretamente, eles podem ser combinados com outros dados para revelar quem você é. Talvez você reutilize a mesma foto de perfil em plataformas sociais, ou tenha feito parte de violações de dados anteriores onde seus e-mails, nomes de usuário ou localização foram expostos — tudo isso pode ser vinculado aos seus metadados do WhatsApp.

Os pesquisadores também obtiveram as chaves públicas usadas para a criptografia de ponta a ponta do WhatsApp e encontraram problemas sérios, incluindo chaves de criptografia sendo reutilizadas centenas de vezes em diferentes contas, e pré-chaves de uso único aparecendo repetidamente, embora sejam projetadas para serem geradas novamente a cada sessão.

Esses problemas de segurança sugerem o uso de clientes não oficiais ou fraudulentos do WhatsApp com criptografia quebrada. Se você usar esses aplicativos modificados, suas mensagens podem estar vulneráveis a interceptação, descriptografia ou falsificação de identidade da conta.

A Meta disse que havia corrigido o problema de enumeração, minimizou a sensibilidade dos dados expostos e não abordou os problemas de chave pública ou o fato de ter sido avisada sobre essa falha grave quase uma década antes.

Anúncios direcionados em todas as plataformas da Meta

O WhatsApp diz que não usa o conteúdo da mensagem para anúncios(nova janela), mas usa outros dados — como informações da conta (código do país, idade), informações do dispositivo (idioma, localização) e atividade em Status e Canais (o que você visualiza, segue ou clica). Como o WhatsApp faz parte da Meta, esses dados podem ser compartilhados no Facebook e Instagram, embora esse compartilhamento de dados seja limitado na Europa graças ao GDPR.

Desde que o WhatsApp alterou sua política de privacidade em 2021, ele compartilhou dados de pagamento e transações que você pode ter tido com empresas com a Meta (então Facebook) também. Se você conectar o WhatsApp à Central de Contas da Meta, suas preferências de anúncios são unificadas, o que significa que ações no WhatsApp podem influenciar os anúncios que você vê em outros lugares. E com novos recursos alimentados pela Meta AI, o compartilhamento de dados entre plataformas levanta ainda mais preocupações.

Treinamento da Meta AI

A Meta AI está incorporada no WhatsApp, Facebook e Instagram, alimentando preocupações sobre como os dados são processados, usados para treinamento de IA e compartilhados nessas plataformas.

No WhatsApp, a Meta diz que a Meta AI não acessa seus chats privados criptografados de ponta a ponta. No entanto, os prompts e o feedback que você compartilha com a Meta AI podem ser armazenados e usados para melhorar seus modelos. O WhatsApp também oferece um recurso de resumo de conversa que depende de “processamento privado”(nova janela), o que a Meta afirma que impede que os resumos sejam lidos pela empresa ou por qualquer outra pessoa.

Mesmo com essas garantias, permanecem preocupações sobre quanto controle as pessoas realmente têm sobre seus dados. Por exemplo, usuários do Facebook relataram que a Meta AI ativou configurações que permitiam escanear fotos não publicadas do rolo da câmera sem o consentimento deles.

Como ficar seguro no WhatsApp

Aqui está o que você pode fazer para melhorar sua privacidade e segurança ao usar o WhatsApp:

• Sempre use os aplicativos oficiais do WhatsApp da App Store ou Google Play para garantir que sua criptografia de ponta a ponta funcione corretamente.
• Ative as notificações de segurança em seu telefone para receber alertas quando um contato reinstalar o WhatsApp, trocar de telefone ou adicionar ou remover um dispositivo vinculado.
• Crie uma chave de acesso para que você possa iniciar sessão no WhatsApp com seu rosto, impressão digital ou bloqueio de tela. Isso impede que outra pessoa inicie sessão, mesmo que obtenha seu código SMS.
• Adicione um endereço de e-mail para verificar ou recuperar sua conta se você for bloqueado. Certifique-se de que seu e-mail em si esteja protegido com uma senha forte e autenticação de dois fatores.
• Ative backups criptografados de ponta a ponta para proteger seus chats no iCloud ou Google Drive para que nem mesmo a Apple, Google ou Meta possam lê-los. O WhatsApp não permite que você escolha um provedor de armazenamento em nuvem. Caso contrário, você deve desativar totalmente os backups de chat.
• Nunca compartilhe seu código de verificação de seis dígitos com ninguém. O WhatsApp e a Meta nunca o pedirão.
• Peça à sua operadora de celular para adicionar um PIN ou frase secreta antes que seu número possa ser movido para outro cartão SIM. Isso torna a troca de SIM muito mais difícil.
• Baixe o WhatsApp apenas do Google Play ou da App Store e mantenha-o — e seu sistema operacional móvel e de desktop — atualizado para a versão mais recente.
• Nunca clique em links ou instale aplicativos de contatos desconhecidos ou suspeitos do WhatsApp. Se você não tiver certeza sobre um contato, entre em contato com ele usando outro método para confirmar sua identidade.
• Bloqueie suas (nova janela)configurações de privacidade do WhatsApp(nova janela) limitando quem pode adicionar você a grupos e ver sua foto de perfil, visto por último e status on-line, seção sobre e links em seu perfil.
• Você não pode desativar completamente a Meta AI no WhatsApp, mas pode tomar medidas para impedir que ela aprenda muito com sua atividade — e proteger suas mensagens de acabar em dados de treinamento de IA.

Escolha um aplicativo de mensagens instantâneas mais privado

Embora você possa tomar medidas para melhorar sua segurança e limitar o que outros usuários do WhatsApp podem ver, isso não muda o fato de que a Meta ainda depende da coleta de informações do usuário, como metadados, para obter receita. Se as alegações recentes do denunciante forem precisas, esse acesso pode ser ainda mais amplo do que a empresa admite. Dado o histórico de violações de privacidade da Meta, algum ceticismo é justificado.

Se você está preocupado com esse nível de controle, considere uma alternativa mais privada ao WhatsApp que colete muito menos dados e não esteja vinculada a uma empresa Big Tech multada por reguladores por seu modelo de publicidade pague-ou-consinta.