Filtración masiva en WhatsApp expuso 3.500 millones de números telefónicos
Una vulnerabilidad en WhatsApp permitió extraer datos de 3.500 millones de usuarios con riesgos para la privacidad.
WhatsApp: la vulnerabilidad que pocos saben pone en riesgo a millones de usuarios.
ShutterstockInvestigadores de la Universidad de Viena lograron extraer miles de millones de números telefónicos y otros datos visibles de la app al automatizar un método que replicaba una función cotidiana del servicio. El estudio reveló una vulnerabilidad que afectó el sistema de descubrimiento de contactos de WhatsApp.
Riesgos para la privacidad
Los investigadores Aljosha Judmayer, Max Günther y Gabriel Gegenhuber comprobaron que era posible verificar de forma automática si un número estaba registrado en WhatsApp y, luego, obtener fotos de perfil en el 57% de los casos y textos públicos en el 29%. Judmayer definió el hallazgo como “la exposición más extensa de números de teléfono y datos de usuario que se haya documentado”.
Te Podría Interesar
Especialistas en ciberseguridad detectaron problemas en el sistema de identificación y en el manejo de claves criptográficas.
Las cifras muestran el alcance de la filtración. En Estados Unidos se identificaron 137 millones de números, de los cuales casi la mitad tenía imágenes visibles. En India, donde la app supera los 750 millones de usuarios, el 62% mostraba fotos públicas. En Brasil, el 61% de los 206 millones de cuentas analizadas tenía imágenes expuestas. También aparecieron millones de registros en países donde la plataforma está prohibida, como China y Myanmar.
Estos datos, según los investigadores, podrían ser utilizados para armar bases destinadas a estafas o spam. En contextos represivos, como los de algunos países asiáticos, también podrían servir para identificar a usuarios que acceden a la app pese a las restricciones estatales. El estudio señala que el uso del número telefónico como único identificador vuelve más débil el modelo de privacidad de la plataforma.
Medidas de Meta y advertencias técnicas
La empresa Meta fue notificada del problema en abril de 2023 y aplicó un control más estricto de velocidad en octubre para evitar la recolección automatizada. Nitin Gupta, vicepresidente de ingeniería de WhatsApp, sostuvo que no hay evidencia de abuso malicioso y que el cifrado de extremo a extremo mantuvo seguros los mensajes privados. La empresa destacó que los datos obtenidos eran públicos y dependían de la configuración elegida por cada usuario.
La falla en WhatsApp expuso datos visibles de millones de usuarios.
Sin embargo, el equipo de Viena indicó que no encontró obstáculos técnicos durante el proceso y recordó que una alerta similar había sido presentada en 2017 por el investigador Loran Kloeze. En ese momento, la compañía consideró que no era un riesgo y no otorgó recompensa.
Además, los especialistas detectaron otros problemas de ciberseguridad. Al analizar las claves criptográficas asociadas a las cuentas, hallaron claves duplicadas y algunas reutilizadas cientos de veces. Incluso identificaron 20 números estadounidenses con claves formadas solo por ceros. Para los investigadores, esto podría estar vinculado al uso de clientes modificados o no autorizados.
Impacto en la ciberseguridad
El incidente vuelve a poner en debate el uso del número telefónico como identificador único. Según el estudio, esta estructura facilita la extracción masiva porque la variación entre combinaciones es baja. Aunque los límites de velocidad reducen el riesgo, no lo eliminan del todo si el sistema de descubrimiento de contactos continúa funcionando de la misma forma.