Apocalipsis de WhatsApp: Millones de dispositivos Android perderán soporte en 2026

En una medida que los profesionales de ciberseguridad anticipaban desde hace tiempo, WhatsApp ha confirmado que dejará de dar soporte a los dispositivos Android que ejecuten las versiones 5.0 y 5.1 (Lollipop) a partir del 8 de septiembre de 2026. Esta decisión, aunque parezca lejana, tiene implicaciones inmediatas para la gestión de vulnerabilidades y la infraestructura de comunicaciones seguras en todo el mundo.

El anuncio, que ha sido ampliamente cubierto por medios desde India hasta Países Bajos, señala un corte definitivo para una de las plataformas de mensajería más populares en una porción significativa de la base instalada de Android a nivel global. Según datos del panel de distribución de Android de Google, los dispositivos que ejecutan Lollipop aún representan un porcentaje no trivial de los dispositivos Android activos, particularmente en mercados emergentes donde los ciclos de reemplazo de hardware son más largos.

La justificación de seguridad

WhatsApp no ha proporcionado una explicación técnica explícita para el corte, pero el razonamiento es claro desde una perspectiva de seguridad. Las aplicaciones de mensajería modernas dependen de protocolos de cifrado avanzados, como el Protocolo Signal, que requieren actualizaciones continuas de las bibliotecas criptográficas y mecanismos seguros de intercambio de claves. Android 5.0 y 5.1, lanzados en 2014 y 2015 respectivamente, carecen de las funciones de seguridad a nivel de kernel y del soporte de API criptográfica que las aplicaciones modernas necesitan.

"La decisión probablemente está impulsada por la necesidad de soportar el secreto perfecto hacia adelante y los primitivos criptográficos post-cuánticos", explica un arquitecto de seguridad familiarizado con la plataforma. "El kernel de Lollipop es simplemente demasiado antiguo para soportar las funciones de protección de memoria y enclave seguro que el modelo de cifrado de extremo a extremo de WhatsApp ahora requiere".

Además, Google ha dejado de proporcionar parches de seguridad para Lollipop, lo que significa que los dispositivos que ejecutan este sistema operativo ya son vulnerables a una lista creciente de exploits conocidos. Al continuar soportando estos dispositivos, WhatsApp estaría manteniendo un canal de mensajería segura en una plataforma inherentemente insegura, creando una falsa sensación de seguridad para los usuarios.

Impacto regional: la historia de dos mercados

El impacto de esta decisión se sentirá con mayor intensidad en las regiones donde los dispositivos Lollipop siguen en uso activo. En India, el mercado más grande de WhatsApp del mundo con más de 500 millones de usuarios, los dispositivos Android económicos de marcas como Xiaomi, Samsung y Micromax todavía se utilizan ampliamente. Muchos de estos dispositivos se enviaron con Lollipop y nunca recibieron actualizaciones del sistema operativo.

Brasil presenta un panorama similar. El país tiene una enorme base instalada de dispositivos Android antiguos, particularmente en sectores de menores ingresos. Los expertos en ciberseguridad brasileños ya han expresado su preocupación por la posibilidad de una "brecha digital" en la que las poblaciones más vulnerables pierdan el acceso a comunicaciones seguras.

Los mercados del Sudeste Asiático, incluidos Indonesia, Filipinas y Vietnam, enfrentan desafíos comparables. La dependencia de la región de teléfonos inteligentes asequibles y de generaciones anteriores significa que millones de usuarios podrían verse afectados.

El desafío de la gestión de vulnerabilidades

Para los equipos de seguridad empresarial, este anuncio crea un escenario complejo de gestión de vulnerabilidades. Las organizaciones con políticas BYOD (Traiga su propio dispositivo) pueden tener empleados que usen dispositivos personales que perderán el soporte de WhatsApp. Si bien las soluciones de MDM (Gestión de dispositivos móviles) de nivel empresarial pueden imponer requisitos de versión del sistema operativo, muchas organizaciones carecen de visibilidad sobre los dispositivos personales utilizados para comunicaciones laborales.

"La verdadera preocupación no es solo que WhatsApp deje de funcionar", señala un analista de ciberseguridad. "Es que los usuarios buscarán alternativas, y esas alternativas pueden no tener la misma postura de seguridad. Podríamos ver una migración a plataformas menos seguras o, peor aún, usuarios que continúen usando versiones obsoletas de WhatsApp que ya no reciben parches".

Qué deben hacer los usuarios y las organizaciones

Para los usuarios individuales, el camino a seguir es claro: actualizar a un dispositivo que ejecute Android 6.0 (Marshmallow) o posterior. La mayoría de los teléfonos inteligentes económicos modernos ahora vienen con Android 12 o superior, pero los usuarios con dispositivos de 2014-2016 pueden necesitar considerar actualizaciones de hardware.

Las organizaciones deben tomar medidas proactivas:

El panorama general

Esta decisión de WhatsApp es parte de una tendencia más amplia de la industria hacia la descontinuación del soporte para sistemas operativos antiguos. Apple, Google y Microsoft han tomado medidas similares con sus propias plataformas. El mensaje de la industria es claro: la seguridad no se puede mantener sobre bases obsoletas.

Para la comunidad de ciberseguridad, el corte de soporte de Lollipop por parte de WhatsApp sirve como un recordatorio de que la seguridad de las aplicaciones solo es tan fuerte como la plataforma subyacente. A medida que nos acercamos a septiembre de 2026, el enfoque debe estar en la educación, la asistencia para la migración y garantizar que los usuarios más vulnerables no se queden atrás en la transición hacia una mensajería más segura.

La cuenta regresiva ha comenzado. La pregunta no es si los usuarios necesitarán actualizarse, sino qué tan fluidamente se puede gestionar la transición para minimizar la brecha de seguridad.