Filtración masiva en WhatsApp expuso 3.500 millones de números telefónicos

Investigadores de la Universidad de Viena lograron extraer miles de millones de números telefónicos y otros datos visibles de la app al automatizar un método que replicaba una función cotidiana del servicio. El estudio reveló una vulnerabilidad que afectó el sistema de descubrimiento de contactos de WhatsApp.

Riesgos para la privacidad

Los investigadores Aljosha Judmayer, Max Günther y Gabriel Gegenhuber comprobaron que era posible verificar de forma automática si un número estaba registrado en WhatsApp y, luego, obtener fotos de perfil en el 57% de los casos y textos públicos en el 29%. Judmayer definió el hallazgo como “la exposición más extensa de números de teléfono y datos de usuario que se haya documentado”.

que pasa

Shutterstock

Las cifras muestran el alcance de la filtración. En Estados Unidos se identificaron 137 millones de números, de los cuales casi la mitad tenía imágenes visibles. En India, donde la app supera los 750 millones de usuarios, el 62% mostraba fotos públicas. En Brasil, el 61% de los 206 millones de cuentas analizadas tenía imágenes expuestas. También aparecieron millones de registros en países donde la plataforma está prohibida, como China y Myanmar.

Estos datos, según los investigadores, podrían ser utilizados para armar bases destinadas a estafas o spam. En contextos represivos, como los de algunos países asiáticos, también podrían servir para identificar a usuarios que acceden a la app pese a las restricciones estatales. El estudio señala que el uso del número telefónico como único identificador vuelve más débil el modelo de privacidad de la plataforma.

Medidas de Meta y advertencias técnicas

La empresa Meta fue notificada del problema en abril de 2023 y aplicó un control más estricto de velocidad en octubre para evitar la recolección automatizada. Nitin Gupta, vicepresidente de ingeniería de WhatsApp, sostuvo que no hay evidencia de abuso malicioso y que el cifrado de extremo a extremo mantuvo seguros los mensajes privados. La empresa destacó que los datos obtenidos eran públicos y dependían de la configuración elegida por cada usuario.

shutterstock_2582264413

Shutterstock

Sin embargo, el equipo de Viena indicó que no encontró obstáculos técnicos durante el proceso y recordó otra alter diferente que había sido presentada en 2017 por el investigador Loran Kloeze.

Además, los especialistas detectaron otros problemas de ciberseguridad. Al analizar las claves criptográficas asociadas a las cuentas, hallaron claves duplicadas y algunas reutilizadas cientos de veces. Incluso identificaron 20 números estadounidenses con claves formadas solo por ceros. Para los investigadores, esto podría estar vinculado al uso de clientes modificados o no autorizados.

Aclaraciones desde Meta

Representantes de Meta se pusieron en contacto con MDZ Tecnología para brindar precisiones sobre el comunicado oficial de la compañía en relación a WhatsApp.

Nitin Gupta, vicepresidente de Ingeniería de WhatsApp, señaló que la compañía agradeció la colaboración responsable de los investigadores de la Universidad de Viena dentro del programa de Bug Bounty. Explicó que, gracias a ese trabajo conjunto, se identificó una técnica de enumeración que operaba más allá de los límites previstos y permitía acceder únicamente a información pública. Comentó que WhatsApp ya estaba desarrollando sistemas avanzados para impedir la recolección automatizada y que el estudio sirvió para comprobar la eficacia inmediata de esas defensas. También destacó que los investigadores eliminaron de forma segura los datos recolectados y que no hay evidencia de que actores maliciosos hayan explotado ese vector. Por último, recordó que los mensajes de los usuarios siempre permanecieron privados y protegidos por el cifrado de extremo a extremo, por lo que los investigadores nunca accedieron a información no pública.