WhatsApp é realmente seguro? Uma análise técnica dos riscos em cada cenário de uso

Acha que está tudo bem se compartilhar informações sensíveis no WhatsApp? Pense bem antes de avaliar o risco.

Essa semana Marco Gomes me mandou um WhatsApp perguntando se a criptografia do WhatsApp era boa mesmo (nas palavras dele mesmo), e eu decidi quebrar o protocolo de publicar de 15 em 15 dias pra esclarecer essa dúvida pra mais gente, já que muita gente me pergunta a mesma coisa.

Vou fazer uma análise de situações em que se usa o app com frequência, mostrando a avaliação de risco, pra que cada um possa tomar uma decisão mais consciente do uso desse aplicativo. Entendo que, independente do nível de segurança, o app se tornou o principal meio de comunicação e transações dos brasileiros (para pagamentos temos o pix) e sua importância é inegável no dia-a-dia das pessoas do Brasil. É impossível viver sem WhatsApp nesse país.

Bem, chega de churumelas e vamos lá.

Caso 1: WhatsApp tradicional - conversas pessoa a pessoa

Se você usa o app para conversar com pessoas que você já conhece e confia, seja em grupos ou individualmente, seu perímetro de ataque, ou seja a superfície vulnerável para o atacante diminui bastante: fica só no seu aparelho e no aparelho das pessoas que estão participando da conversa.

A criptografia aqui é robusta: o WhatsApp usa o Signal Protocol, que implementa criptografia ponta-a-ponta (E2EE) verdadeira. Isso significa que as chaves de criptografia são geradas e armazenadas apenas nos dispositivos: nem a Meta, nem governos, nem hackers que interceptem a comunicação conseguem ler o conteúdo das mensagens em trânsito.

Mas atenção aos metadados: lembrando que no caso do WhatsApp, a Meta coleta e integra metadados com outros produtos da Meta para desenvolver perfis e enviar anúncios. Dados como:

• Com quem você conversa e quando

• Frequência e duração das conversas

• Informações do dispositivo (modelo, sistema operacional, versão do app)

• Endereço IP e localização aproximada

• Padrões de uso (horários mais ativos, tamanho dos grupos)

• Status online/offline

• Lista de contatos (números de telefone que você tem salvo)

...são coletados sempre que você instala o app e disso não tem como fugir muito, a menos que você esteja na União Europeia onde o GDPR limita esse compartilhamento.

Vulnerabilidades desse cenário:

• Backups na nuvem (iCloud/Google Drive) geralmente não são E2EE por padrão

• Malware ou acesso físico ao dispositivo comprometem todas as mensagens

• Prints de tela e encaminhamentos saem do perímetro de proteção

• Metadados podem revelar padrões sensíveis mesmo sem acesso ao conteúdo

Imagem gerada no Gemini sobre os riscos do WhatsApp Tradicional

Caso 2: WhatsApp Business App - pequenos negócios

O outro caso de uso é comum aqui no Brasil: você está conversando com alguém que, por algum motivo comercial ou porque tem um iPhone, usa o WhatsApp Business App instalado.

Aqui há uma confusão comum: o WhatsApp Business App (aquele que pequenos negócios baixam da loja de apps) mantém a mesma E2EE do WhatsApp tradicional. É basicamente o app normal com recursos extras como catálogo de produtos, mensagens automáticas de ausência, e etiquetas para organizar conversas.

Então qual é o risco adicional?

Sua superfície de ataque cresce porque:

• Múltiplos funcionários podem ter acesso ao mesmo número de negócio (via WhatsApp Business em múltiplos dispositivos ou WhatsApp Web)

• As mensagens ficam registradas em dispositivos corporativos que podem ter políticas de segurança diferentes

• Backups corporativos podem incluir suas conversas

• A empresa pode fazer screenshots ou exports das conversas para seus sistemas internos

• Rotatividade de funcionários significa mais pessoas com potencial acesso histórico

Os metadados continuam sendo coletados e combinados de modo opaco, ou seja, ninguém sabe exatamente como serão utilizados ou com quem serão compartilhados. A Meta pode inferir seus padrões de consumo, empresas que você contata, horários de compra, etc.

Caso 3: WhatsApp Business API - o grande problema

O terceiro caso, massivamente comum no Brasil, é o envio de documentos, pedidos, informações sensíveis e outros dados relevantes pelo WhatsApp para empresas, pessoas e instituições de todo tipo, especialmente quando fazem uso da Business API do WhatsApp. Aqui é onde a criptografia ponta-a-ponta inexiste.

A Business API NÃO garante E2EE verdadeira porque permite integrações que transformam o app em um verdadeiro CRM/ERP. Vou explicar tecnicamente o que acontece:

1. Descriptografia forçada: Para que a empresa possa processar sua mensagem (automatizar respostas, rotear para departamentos, analisar sentimento, etc), a mensagem precisa ser descriptografada nos servidores do Business Solution Provider (BSP) ou da própria empresa.

2. Cadeia de custódia dos dados: Sua mensagem passa por:

   WhatsApp (E2EE em trânsito) → BSP/servidor da empresa (descriptografada) → Sistema de CRM (Salesforce, Zendesk, HubSpot, etc) → Ferramentas de analytics → Bancos de dados corporativos → Potencialmente planilhas Excel, sistemas legados, backups não criptografados → potencialmente voltam para o celular da empresa

3. Superfície de ataque massiva: Seus dados podem ser acessados por:

   • Atendentes de call center

   • Supervisores e gerentes

   • Equipes de TI e DBAs

   • Fornecedores terceirizados do BSP

   • Sistemas de backup e disaster recovery

   • Qualquer pessoa com acesso aos sistemas integrados

4. Ciclo de vida fora de controle: O usuário não tem como saber:

   • Por quanto tempo os dados são retidos

   • Quem tem acesso

   • Se há criptografia em repouso

   • Como são feitos os backups

   • Se dados são compartilhados com parceiros

   • Políticas de exclusão após término do atendimento

Exemplos preocupantes no Brasil:

• Envio de CPF, RG, comprovantes de residência para bancos

• Prontuários médicos e exames para clínicas

• Contratos e documentos jurídicos para escritórios de advocacia

• Declarações fiscais para contadores

• Senhas temporárias e códigos 2FA de serviços

Eu diria que não é o uso mais privado ou seguro do WhatsApp e considero uma falha grave da empresa fazer propaganda como se tudo que se faz em seu ambiente fosse igualmente seguro. O selo verde de “criptografado” aparece para o usuário independentemente de estar falando com API ou app tradicional. Nesse caso, o marketing da empresa poderia ser mais honesto e explicar que, em alguns casos, não garante que as mensagens são privadas por que não tem como controlar a infra dos parceiros. Assim, o público poderia se proteger melhor.

Implicações para LGPD:

Na cadeia WhatsApp → BSP → Empresa → Integrações, quem é o controlador? Quem é o operador? Como fica a responsabilidade compartilhada? A maioria das empresas brasileiras usando Business API provavelmente não mapeou adequadamente esse fluxo de dados nos seus relatórios de impacto à privacidade. Tudo bem, são integrações que geralmente passam batido e ninguém considera que “vai dar merda”. Quando dados são vazados nessas situações é muito difícil rastrear de quem é o culpado, portanto a responsabilização é vaga e as empresas, portanto, não se interessam muito em fazer.

Imagem gerada com NotebookLM sobre o caso de uso onde existe a Business API

Caso 4: Grupos grandes e comunidades - quando o perímetro explode

Grupos do WhatsApp apresentam um desafio único de privacidade. Mesmo com E2EE, cada membro do grupo tem acesso completo a:

• Todo o histórico de mensagens desde que entrou

• Mídias compartilhadas (fotos, vídeos, documentos)

• Números de telefone de todos os participantes

• Possibilidade de fazer screenshots e encaminhamentos ilimitados

A superfície de ataque cresce exponencialmente:

Em um grupo com 256 pessoas (limite do WhatsApp), você está confiando que:

• Nenhum dos 256 dispositivos está comprometido por malware

• Nenhum participante vai fazer screenshot ou encaminhar mensagens sensíveis

• Todos os backups (256 × iCloud/Google Drive) estão seguros

• Nenhum participante será coagido a mostrar o celular (polícia, empregador, etc)

• Todos vão sair do grupo quando não fizerem mais parte daquela comunidade

Vazamentos comuns:

• Ex-funcionários que continuam em grupos corporativos

• Membros que mudaram de lado político/ideológico em grupos de ativismo

• Participantes adicionados por engano que têm acesso ao histórico completo

• Dispositivos corporativos monitorados por empregadores

Metadados em grupos revelam:

• Sua rede social e afiliações (grupos políticos, religiosos, profissionais)

• Horários de maior atividade

• Quem são os líderes/coordenadores (por frequência de mensagens)

• Padrões de mobilização (grupos ativistas, sindicatos, protestos)

Caso potencialmente real: Durante manifestações políticas, membros de grupos de determinados lados políticos podem ser identificados via metadados mesmo sem acesso ao conteúdo das mensagens. A simples presença em determinados grupos + padrões de atividade já revelam muito.

O que a Meta potencialmente coleta: além dos metadados óbvios:

Quando você aceita os termos do WhatsApp, está autorizando uma coleta de dados muito mais granular do que parece. Vamos além da lista básica possível:

• Dados de dispositivo e ambiente: modelo, fabricante, sistema operacional, versão, operadora de telefonia e tipo de conexão (Wi-Fi/dados móveis), identificadores únicos do dispositivo (IMEI, advertising ID), nível de bateria (pode indicar padrões de uso), configurações de idioma e fuso horário, sensores disponíveis (acelerômetro, giroscópio, etc) e/ou espaço de armazenamento disponível.

• Padrões comportamentais: grafo social completo: não só com quem você fala, mas a frequência, duração, horários preferenciais com cada contato

• Análise de rede: quem são seus contatos que também se falam (mesmo que você não esteja no grupo), velocidade de digitação e padrões de uso do teclado (indicadores de estado emocional), quanto tempo você leva para responder diferentes contatos (prioridades), padrões de localização inferidos pelo IP (casa, trabalho, lugares frequentes), horários em que você está online/offline (rotina de sono, trabalho), uso de recursos (chamadas de voz, vídeo, figurinhas, áudio, fotos).

• integração cross-platform: a Meta pode cruzar dados do WhatsApp com: Facebook: seus likes, grupos, eventos, páginas seguidas; Instagram: contas que você segue, posts que curte, tempo em cada tipo de conteúdo, etc. Além disso, tem o caso dos pixels da meta, que estão presentes em milhões de sites, mapeando seu histórico de navegação fora das plataformas Meta.

• Isso permite: perfis com orientação política (inferida por padrões de comunicação + Facebook), poder aquisitivo (contatos, localização, horários de atividade), estado civil e familiar (padrões de comunicação, grupos), condições de saúde (frequência de contato com clínicas via Business API), vulnerabilidades emocionais (horários de atividade, velocidade de resposta), propensão a comportamentos (compra por impulso, clickbait, desinformação), etc.

Ao contrário da União Européia (onde o GDPR bloqueia muito disso), no Brasil e em outras partes do mundo, aceitar o compartilhamento é condição de uso do app. As configurações de privacidade são limitadas e controlam mais o que outros usuários veem, e não o que a Meta coleta, mesmo desativando “compartilhamento de dados com empresas da família Meta”, isso só se aplica a novos dados (e tem exceções para “operações, segurança e integridade”)

Como identificar se está falando com Business API

Nem sempre é óbvio quando você está falando com a API vs um app Business normal. Alguns sinais:

Indicadores de Business API:

• Badge “Business” com selo verificado (mas nem sempre aparece)

• Respostas instantâneas automatizadas muito estruturadas

• Mensagens com botões interativos, listas de seleção, menus

• Solicitação de dados estruturados (CPF, data de nascimento em campos específicos)

• Confirmações automáticas com número de protocolo

• Horário de atendimento estendido ou 24/7

• Transferências automáticas entre “departamentos”

Como minimizar riscos:

É meio tosco falar em minimizar riscos, porque sei que algumas coisas essenciais da vida no Brasil só se faz pelo WhatsApp. Mesmo assim, se puder:

1. Evite o envio de documentos sensíveis via WhatsApp

   • Dê preferência a portais web seguros da empresa (com HTTPS e autenticação)

   • Para bancos/saúde e outras informações sensíveis, use os apps oficiais da instituição.

2. Para verificação de identidade:

   • Questione se é realmente necessário enviar RG/CNH pelo WhatsApp

   • Peça alternativas (portal seguro, por exemplo)

   • Se inevitável, pelo menos cubra dados não essenciais (número de RG quando só precisam da foto, etc)

3. Cuidado com “senhas temporárias” e códigos 2FA:

   • Muitos serviços enviam códigos via WhatsApp Business. Se o BSP for comprometido, seu 2FA vaza, então prefira apps autenticadores (Google Authenticator, etc)

4. Assuma que tudo que você envia para Business API pode ser lido por humanos:

   • Atendentes, estagiários

   • Supervisores revisando qualidade

   • Equipes de compliance

   • Terceiros contratados

Bônus: eu acho complicado o uso dos reels do Whatsapp se você usa o aplicativo para fazer negócios também porque praticamente todo mundo da sua lista pode ver (no modo default). Como eu acompanho agências de notícias pelo reels, não é difícil acabar vendo também algum vídeo do aniversário do sobrinho de dois anos da moça de quem eu comprei velas perfumadas…

Conclusão: não existe almoço grátis

O WhatsApp oferece conveniência e adoção universal no Brasil e, como falamos no começo, é praticamente impossível viver sem ele em alguns países. A criptografia ponta-a-ponta é real e robusta para o conteúdo das mensagens no uso pessoa-a-pessoa tradicional.

PORÉM:

1. Metadados valem ouro: revelam padrões que o conteúdo sozinho não revelaria

2. Business API quebra a promessa de E2EE na prática

3. Coleta comportamental constrói perfis psicográficos íntimos

4. Você não pode optar por não participar sem deixar de usar o app

5. Se alguém tiver acesso ao seu celular ou ao celular de quem você conversa, esse alguém poderá ler tudo

Use o WhatsApp com os olhos abertos: entenda que é uma plataforma onde é difícil controlar a superfície de ataque. Para comunicação realmente confidencial, existem alternativas melhores.

E principalmente: exija transparência das empresas que usam Business API. Pergunte onde seus dados vão parar, por quanto tempo são retidos, quem tem acesso. Se a resposta for vaga ou inexistente, questione se vale a pena usar aquele canal, ou peça alternativas. Precisamos começar a cobrar para que as empresas comecem a se mexer e prover ambientes realmente seguros para o envio de informações sensíveis.