3,5 mil millones de números de WhatsApp expuestos por un fallo antiguo, según investigadores
Una equipe de investigadores en seguridad de Austria ha descubierto que era posible extraer cerca de 3,5 mil millones de números de teléfono de usuarios de WhatsApp aprovechando el sistema de descubrimiento de contactos de la aplicación. El método, según los autores, no requirió técnicas avanzadas: consistió en registrar y verificar números de teléfono uno por uno mediante la interfaz web del servicio.
Qué hicieron los investigadores
Los expertos automatizaron la comprobacion de números desde WhatsApp Web. Al verificar sistematicamente posibles combinaciones de numeracion, consiguieron identificar usuarios y asociarles datos visibles en la plataforma.
- Comprobacion aproximada: alrededor de 100 millones de numeros por hora, segun el equipo.
- Datos obtenidos: nombre del usuario para todos los numeros vinculados; foto de perfil en algo mas de la mitad de los casos; y estado publico en casi un tercio de los registros.
Alcance y evaluacion
Aljosha Judmayer, uno de los investigadores, afirmo que, a su conocimiento, se trata de « la exposicion mas extensa de numeros de telefono y datos asociados documentada hasta la fecha ». Los investigadores borraron posteriormente la copia con los 3,5 mil millones de numeros y aseguran que la extraccion no se llevo a cabo con fines malintencionados.
Antecedentes y respuesta de Meta
El grupo señalo que Meta, la empresa propietaria de WhatsApp, conocia desde hace años la posibilidad de abuso de este mecanismo. En 2017 ya se habia reportado una vulnerabilidad similar. Pese a ese aviso, Meta no habia implementado limitaciones claras al numero de solicitudes para buscar contactos, lo que permitio a los investigadores completar la operacion a alta velocidad.
Los investigadores notificaron a Meta en abril. En octubre, la compania impulso una actualizacion para limitar la cantidad de consultas que se pueden realizar al servicio. Meta recompenso al equipo autrichiano a traves de su programa Bug Bounty y califico los datos involucrados como « informacion publica basica ».
Lo que queda por evaluar
El hallazgo plantea preguntas sobre el equilibrio entre facilidad de uso y privacidad en servicios de mensajeria que usan la agenda de contactos para descubrir usuarios. Limitar las consultas automatizadas es una medida que reduce el riesgo de recoleccion masiva, pero los expertos advierten que, sin cambios adicionales, seguira siendo posible explotar mecanicas similares.
Las autoridades, las empresas y los usuarios deben valorar las implicaciones: muchos numeros de telefono estan vinculados a identidades, fotos y estados que pueden permitir reconstruir perfiles o facilitar otros ataques de ingenieria social.
