Una grave vulnerabilidad en WhatsApp permitió recolectar hasta 3.500 millones de números de teléfono según una investigación.
Un equipo de especialistas en ciberseguridad de la Universidad de Viena y del centro SBA Research reveló una importante falla en WhatsApp que hizo posible la recopilación masiva de datos públicos de usuarios de todo el mundo. La brecha dejó expuestos números de teléfono, fotos de perfil, estados y otra información visible para terceros.
Una falla en el sistema de verificación de contactos en WhatsApp
El punto débil se encontraba en el mecanismo que la aplicación utiliza para confirmar si un número pertenece a un usuario registrado. Los investigadores automatizaron este proceso generando millones de combinaciones de números telefónicos por segundo. Así lograron verificar, en tiempo récord, la existencia de más de 3.500 millones de cuentas vinculadas a WhatsApp en 245 países.
Además de los números de teléfono, pudieron obtener fotos de perfil en más de la mitad de los casos, mensajes publicados en el estado y ciertos metadatos que permitían conocer detalles adicionales, como el sistema operativo utilizado o la cantidad de dispositivos asociados a una misma cuenta.
El volumen de datos recabados podría ser aprovechado por actores maliciosos para armar bases de información destinadas a campañas de spam, phishing o estafas telefónicas. En regiones donde el uso de WhatsApp está prohibido o regulado estrictamente, estos datos incluso podrían utilizarse para localizar y perseguir a usuarios.
Los especialistas también señalaron que algunas cuentas presentaban claves criptográficas reutilizadas, algo que podría comprometer la seguridad a largo plazo si no se corrige.
La respuesta de Meta/WhatsApp
Meta, compañía responsable de WhatsApp, fue notificada sobre el problema meses atrás y aplicó límites técnicos para frenar la automatización de consultas. La empresa afirmó que no existen indicios de que esta vulnerabilidad haya sido explotada con fines delictivos y remarcó que el cifrado de extremo a extremo nunca estuvo comprometido. El contenido de los mensajes, aseguraron, permaneció siempre protegido.
Los datos recolectados durante la investigación fueron eliminados una vez concluido el estudio.
El hallazgo vuelve a poner sobre la mesa el debate en torno a la utilización del número de teléfono como identificador único en aplicaciones de mensajería. Los investigadores advierten que, aunque la información obtenida era técnicamente pública, su recopilación a gran escala constituye una seria amenaza para la privacidad de millones de usuarios.
