Apocalipsis Android de WhatsApp: 200 Millones de Dispositivos Expuestos tras el Corte de Soporte en 2026

El 8 de septiembre de 2026, WhatsApp dejará oficialmente de ser compatible con Android 5.0 (Lollipop) y 5.1, una decisión que dejará aproximadamente 200 millones de dispositivos en todo el mundo sin actualizaciones de seguridad críticas. Este anuncio, realizado a finales de abril de 2026, apunta a sistemas operativos que tienen más de una década de antigüedad, pero la verdadera historia radica en las enormes implicaciones de ciberseguridad para los mercados emergentes donde estos dispositivos siguen siendo comunes.

Según estimaciones de la industria, Android 5.0 y 5.1 aún alimentan aproximadamente el 3-4% de todos los dispositivos Android activos, pero la concentración es mucho mayor en regiones como India, Brasil, Indonesia y partes de África. En estos mercados, los teléfonos inteligentes económicos y los modelos más antiguos a menudo se pasan de generación en generación o se utilizan como dispositivos principales para millones de personas que no pueden permitirse actualizaciones. La decisión de WhatsApp deja efectivamente huérfanos estos dispositivos, dejándolos vulnerables a una creciente variedad de amenazas cibernéticas.

El problema central es que, sin parches de seguridad, estos dispositivos se convierten en blancos fáciles para malware, ransomware y robo de datos. Vulnerabilidades conocidas en Android 5.x, como CVE-2021-0395 (una falla de escalada de privilegios) y CVE-2020-0108 (un error de ejecución remota de código de alta gravedad), permanecen sin parchear en estos sistemas. Los atacantes pueden explotar estas fallas para obtener acceso root, interceptar comunicaciones o instalar software espía. Dado que WhatsApp es una herramienta de comunicación principal para muchos, la superficie de ataque es enorme, especialmente para los usuarios empresariales que dependen de WhatsApp Business para las interacciones con los clientes.

Desde una perspectiva de la cadena de suministro, esto crea una nueva categoría de riesgo: dispositivos huérfanos que aún están conectados a Internet pero que ya no reciben soporte del proveedor. Los investigadores de seguridad han advertido durante mucho tiempo sobre los peligros de los sistemas heredados, pero la medida de WhatsApp lleva el problema al nivel del consumidor de una manera dramática. Las organizaciones que permiten a los empleados usar dispositivos personales para el trabajo (políticas BYOD) ahora deben evaluar si estos dispositivos representan un riesgo de cumplimiento, especialmente si manejan datos confidenciales.

El impacto regional es particularmente marcado. En India, donde WhatsApp tiene más de 500 millones de usuarios, una parte significativa todavía usa versiones antiguas de Android. Lo mismo ocurre en Brasil, donde los dispositivos Android económicos dominan el mercado. Para estos usuarios, la elección es clara: actualizar a un teléfono más nuevo (a menudo una carga financiera) o continuar usando WhatsApp sin garantías de seguridad. Muchos probablemente elegirán esto último, sin conocer los riesgos.

WhatsApp ha proporcionado un período de gracia hasta el 8 de septiembre de 2026, pero esto no es una solución, es una cuenta regresiva. La compañía recomienda que los usuarios actualicen a Android 6.0 (Marshmallow) o posterior, pero muchos dispositivos simplemente no pueden ejecutar versiones más nuevas del sistema operativo debido a limitaciones de hardware. Esto destaca un problema más amplio de la industria: la obsolescencia planificada del hardware y el software en el ecosistema móvil.

Para los profesionales de la ciberseguridad, este evento es un caso de estudio en la gestión de vulnerabilidades heredadas. Subraya la necesidad de una evaluación de riesgos proactiva, especialmente en las cadenas de suministro globales donde los dispositivos pueden usarse durante años más allá de su vida útil prevista. Las empresas deben auditar sus flotas de dispositivos, hacer cumplir los requisitos mínimos del sistema operativo y considerar la implementación de soluciones de gestión de dispositivos móviles (MDM) para mitigar los riesgos. Para los usuarios individuales, el único camino seguro es actualizar a un dispositivo compatible, pero para muchos, esto es más fácil decirlo que hacerlo.

En conclusión, la decisión de WhatsApp de dejar de ser compatible con Android 5.0 y 5.1 no es solo una actualización técnica, es una crisis de seguridad a punto de ocurrir. Los 200 millones de dispositivos huérfanos representan una superficie de ataque masiva y desprotegida que los ciberdelincuentes atacarán inevitablemente. El reloj está corriendo, y la comunidad de ciberseguridad debe actuar ahora para educar a los usuarios, hacer cumplir las políticas y desarrollar estrategias de mitigación antes de que llegue septiembre de 2026.