Un simple fallo de seguridad de WhatsApp expuso 3,500 millones de números de teléfono

La adopción masiva de WhatsApp se debe en parte a la facilidad con la que se puede encontrar un nuevo contacto en la plataforma de mensajería: se añade el número de teléfono de alguien y WhatsApp muestra al instante si utiliza el servicio y, a menudo, también su foto de perfil y su nombre.

Si repetimos ese mismo truco miles de millones de veces con cada número de teléfono posible, resulta que la misma función también puede servir para obtener fácilmente el número de prácticamente todos los usuarios de WhatsApp del mundo, junto con fotos de perfil y textos que los identifican. El resultado es una exposición masiva de información personal de una parte significativa de la población mundial.

Un grupo de investigadores austriacos demostró que, mediante un método sencillo que consiste en revisar todos los números posibles en la búsqueda de contactos de WhatsApp, es posible extraer los números de teléfono de 3,500 millones de usuarios del servicio de mensajería. Además, descubrieron que podían acceder a las fotos de perfil de aproximadamente el 57% de esos usuarios y, en otro 29%, al texto de sus perfiles. A pesar de que en 2017 otro investigador advirtió sobre la posible exposición de estos datos por parte de WhatsApp, Meta no limitó la velocidad ni la cantidad de solicitudes de búsqueda de contactos que los investigadores podían realizar interactuando con la aplicación web de WhatsApp, lo que les permitió revisar aproximadamente cien millones de números por hora.

«Si no se hubiera recopilado como parte de un estudio de investigación llevado a cabo de forma responsable, se trataría de la mayor filtración de datos de la historia», describen los investigadores en un documento que expone sus hallazgos.

Hubiera sido una filtración exponencial

«Por lo que sabemos, se trata de la mayor exposición de números de teléfono y datos de usuario relacionados jamás documentada», afirma Aljosha Judmayer, uno de los investigadores de la Universidad de Viena que trabajó en el estudio.

Los investigadores avisaron a Meta de sus hallazgos en abril y borraron su copia de los 3,500 millones de números de teléfono. En octubre, la empresa había solucionado el problema de enumeración con una medida más estricta de «limitación de la tasa» que impide el método de descubrimiento masivo de contactos que utilizaron los investigadores. Pero hasta entonces, la exposición de los datos también podría haber sido aprovechada por cualquier otra persona que utilizara la misma técnica de raspado, añade Max Günther, otro investigador de la universidad coautor del artículo: «Si nosotros pudimos recuperar estos datos con suma facilidad, otros podrían haber hecho lo mismo».

En una declaración a WIRED, Meta dio las gracias a los investigadores, que informaron de su descubrimiento a través del sistema de «recompensas por fallos» de Meta, y describió los datos expuestos como «información básica disponible públicamente», ya que las fotos de perfil y el texto no estaban expuestos para los usuarios que optaron por hacerlos privados. «Ya habíamos estado trabajando en sistemas antiscraping (antirraspado) líderes en el sector, y este estudio ha sido fundamental para probar y confirmar la eficacia inmediata de estas nuevas defensas», escribe Nitin Gupta, vicepresidente de ingeniería de WhatsApp. Gupta añade: «No hemos encontrado pruebas de que actores maliciosos hayan abusado de este vector». Como recordatorio, los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado de extremo a extremo por defecto de WhatsApp, y ningún dato no público fue accesible a los investigadores».

A pesar de la descripción de Meta, los investigadores afirman que no eludieron ni encontraron ninguna «defensa» al recopilar los números de teléfono. No es la primera vez que WhatsApp recibe advertencias sobre su exposición de números de teléfono y datos de perfil asociados. Hace ocho años, en 2017, el investigador holandés Loran Kloeze escribió una entrada en su blog en la que señalaba que la técnica de enumeración de números de teléfono era posible y que podía utilizarse para obtener números de teléfono, fotos de perfil y también las horas en las que un usuario estaba conectado.