Exjefe de Seguridad de WhatsApp dice que Meta lo despidió tras plantear preocupaciones de seguridad

El exjefe de seguridad de WhatsApp, Attaullah Baig, presentó una demanda contra Meta y varios altos ejecutivos de la compañía, acusándolos de prácticas de represalia después de que levantara alarmas sobre graves fallos de ciberseguridad.

El 8 de septiembre de 2025, Baig presentó una denuncia federal en el Distrito Norte de California. Afirma que Meta y sus ejecutivos lo castigaron por exponer fallos de seguridad y engañar a los reguladores. Solicita su reincorporación, el pago retroactivo de salarios, una indemnización por daños emocionales y el reembolso de honorarios legales.

Baig se unió a WhatsApp en septiembre de 2021. A las pocas semanas, dirigió un ejercicio de Red Team con el grupo central de seguridad de Meta. Esa prueba encontró graves problemas de seguridad. Por ejemplo, alrededor de 1.500 ingenieros de WhatsApp tenían acceso sin restricciones a los datos de los usuarios, y Baig afirma que esos ingenieros podían mover o robar los datos sin ser detectados ni dejar rastros de auditoría.

Tras los hallazgos, advirtió repetidamente a sus supervisores que WhatsApp ni siquiera tenía un inventario básico de los datos de usuario que recopilaba, dónde se encontraban y quién podía acceder a ellos.

Escalada a los altos ejecutivos

Baig llevó sus preocupaciones a la alta dirección en agosto de 2022 después de que dos incidentes de seguridad afectaran a usuarios de WhatsApp. Explicó la situación a Will Cathcart, jefe de WhatsApp, señalando que solo diez ingenieros trabajaban en seguridad, mientras que otras compañías con productos similares tenían cerca de doscientos.

Baig preparó un informe detallado en el que señaló seis fallos críticos:

Fallo en el inventario de datos de usuario

• WhatsApp no tenía una lista completa de los datos de usuario que recopilaba, lo que violaba los requisitos de divulgación según la CCPA, el GDPR y la Orden de Privacidad de la FTC de 2020.

Fallo en la localización del almacenamiento de datos

• La empresa carecía de un inventario de los sistemas donde almacenaba los datos de usuario, lo que impedía una seguridad adecuada y el cumplimiento normativo.

Acceso irrestricto a los datos

• Alrededor de 1.500 ingenieros tenían acceso ilimitado a “Información Cubierta” (datos personales protegidos por la Orden de Privacidad de la FTC) sin necesidad documentada de ello.

Ausencia de monitoreo de accesos

• No existían sistemas que monitorearan quién accedía a los datos de usuario, lo que hacía imposible detectar actividades sospechosas.

Incapacidad para detectar brechas de datos

• WhatsApp carecía de un Centro de Operaciones de Seguridad 24/7, algo estándar en empresas de su tamaño. Esto significaba que la compañía no podía identificar ni contener rápidamente las brechas.

Masivos compromisos de cuentas diarias

• Aproximadamente 100.000 usuarios de WhatsApp perdían sus cuentas diariamente por tomas de control, lo que exponía información sensible.

“Tenemos la responsabilidad fiduciaria de proteger a nuestros usuarios y sus datos. Las sanciones pueden ser severas tanto en términos de daño a la marca como de multas”, advirtió Baig en ese documento.

Creciente presión y represalias

Según la denuncia, los gerentes de Meta respondieron con una campaña de represalias. Los supervisores emitieron evaluaciones de desempeño negativas, microgestionaron su trabajo, bloquearon funciones de seguridad y lo acusaron de “problemas de colaboración”.

Baig también afirmó que los ejecutivos de Meta revirtieron uno de sus proyectos más importantes, la función de Recuperación Posterior a Compromiso, que ayudaba a unos 25.000 usuarios hackeados a recuperar sus cuentas diariamente.

Además, alega que los gerentes le negaron 600.000 dólares en acciones, bloquearon dos solicitudes de patentes y eventualmente lo despojaron de responsabilidades.

Baig finalmente acudió fuera de la compañía a finales de 2024 y presentó una denuncia confidencial de denunciante (whistleblower) ante la SEC el 27 de noviembre de 2024.

Una semana después, escribió al CEO Mark Zuckerberg: “Creo que falta algo importante en ‘Meta, Metamates, Me’ y en mi opinión eso es lo que define o rompe nuestra compañía.”

Baig también presentó una denuncia ante la Administración de Seguridad y Salud Ocupacional (OSHA) del Departamento de Trabajo de EE. UU. el 17 de enero de 2025, invocando protecciones para denunciantes. Un mes después, Meta lo despidió por “mal desempeño”.