WhatsApp expone 3.500 millones de números telefónicos debido a una vulnerabilidad de seguridad

Descubren 3.500 millones de números de teléfono en peligro por una vulnerabilidad de WhatsApp

Una vulnerabilidad en WhatsApp ha posibilitado identificar 3.500 millones de cuentas activas globalmente en la plataforma de mensajería, como resultado de una investigación que usó un generador de números para detectar y ayudar a corregir esta falla, con el fin de evitar la exposición de dichos datos.

Los usuarios nuevos de WhatsApp pueden verificar si sus contactos almacenados en la agenda del teléfono disponen de cuenta en el servicio simplemente permitiendo el acceso de la app a esa información. Esto ocurre porque WhatsApp mantiene un registro de sus usuarios asociado a sus números telefónicos para facilitar este procedimiento.

No obstante, este sistema «puede ser usado indebidamente para verificar si una persona concreta (como un funcionario público, una expareja o un empleador) está registrada en WhatsApp» solo con el conocimiento del número telefónico, advirtieron investigadores de la Universidad de Viena y la Universidad Técnica de Viena (Austria).

Aunque WhatsApp ha reforzado la privacidad, este mecanismo podría aprovecharse para confeccionar bases de datos masivas con números telefónicos, que luego actores maliciosos podrían emplear en campañas de ‘spam’, phishing o llamadas automáticas.

Para validar esta vulnerabilidad en la plataforma, los investigadores idearon un método para «generar rápidamente conjuntos de datos con números de teléfono potencialmente activos en 245 países», según detallan en el documento de su trabajo publicado en GitHub.

Específicamente, introdujeron en una API de WhatsApp todos los números que lograron generar automáticamente para confirmar su actividad en el servicio, alcanzando una tasa de 7.000 números por segundo por sesión.

Realizaron estas pruebas desde la misma dirección IP y con cinco cuentas de usuario diferentes, sin que WhatsApp bloquease dichas cuentas, lo que finalmente les permitió confirmar 3.500 millones de números registrados (cuentas activas). Esta cifra, aseguran, «supera el ‘más de 2.000 millones de personas’ que WhatsApp declara oficialmente».

Adicionalmente, utilizaron la API XMPP de WhatsApp para obtener más datos sobre cada cuenta: claves públicas de cifrado, marcas temporales, foto de perfil e información empresarial.

«La gran cantidad de puntos de datos permite no solo realizar un censo detallado de la población de usuarios de WhatsApp, sino también obtener observaciones macroscópicas interesantes a gran escala que el servicio de mensajería puede capturar, incluso sin acceder al contenido de los mensajes«, explican los investigadores.

Con este enfoque descubrieron, por ejemplo, que Europa representa el 18 por ciento de la base de usuarios de WhatsApp, donde el 64 por ciento utiliza dispositivos Android frente al 36 por ciento que usa iOS. Mientras tanto, Asia se posiciona como el mercado principal, concentrando el 47 por ciento de los usuarios, de los cuales el 88 por ciento emplea Android y el 12 por ciento, iOS.

Los investigadores notificaron a WhatsApp sobre su hallazgo y colaboraron con la empresa para implementar soluciones, que se llevaron a cabo a principios de octubre. Además, WhatsApp aceleró la aplicación de algunas medidas que tenía en desarrollo para ponerlas en marcha cuanto antes.

Scroll al inicio