Investigadores de la Universidad de Viena lograron extraer los números de teléfono de 3.500 millones de usuarios de WhatsApp, así como fotos de perfil y textos públicos, al aprovechar una vulnerabilidad en el sistema de descubrimiento de contactos de la aplicación.
Este incidente expone la escala de una filtración de datos personales que impacta a una de las plataformas de mensajería más utilizadas, con consecuencias directas para la privacidad de miles de millones de personas. Meta, responsable de WhatsApp, reconoció el problema y aseguró que implementó soluciones para corregir la falla.
PUBLICIDAD
El uso cotidiano de WhatsApp reveló la falla
El equipo, integrado por Aljosha Judmayer, Max Günther y Gabriel Gegenhuber, demostró que era posible utilizar la búsqueda de contactos de WhatsApp para verificar, de manera automatizada, si cualquier número estaba registrado. Repitiendo este proceso a gran escala, recopilaron tanto los números como fotos de perfil en el 57% de los casos y textos públicos en el 29%.
Según Judmayer, se trata de “la exposición más extensa de números de teléfono y datos de usuario relacionada que se haya documentado”.
Los datos recopilados reflejan el alcance global de la exposición. Entre los 137 millones de números estadounidenses obtenidos, el 44% tenía fotos de perfil y el 33% textos públicos. En India, donde WhatsApp supera los 750 millones de usuarios, el 62% de las cuentas expuso imágenes de perfil.
PUBLICIDAD
En Brasil, de los 206 millones de números identificados, el 61% mostraba fotos visibles. Además, se detectaron millones de números en países donde WhatsApp está prohibido, como China (2,3 millones) y Myanmar (1,6 millones), lo que podría facilitar la persecución de usuarios en contextos represivos.
Respuesta de Meta
Meta fue notificada sobre la vulnerabilidad en abril y aplicó en octubre una medida de limitación de velocidad (rate-limiting) más estricta para prevenir la recolección masiva de datos por este método. Nitin Gupta, vicepresidente de ingeniería de WhatsApp, afirmó que no hay evidencia de abuso malicioso de este vector. Los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado de extremo a extremo, y los investigadores nunca accedieron a datos no públicos.
PUBLICIDAD
Según informó Wired, Meta agradeció al equipo, que reportó su descubrimiento a través del sistema de recompensas por errores, y destacó que la información expuesta correspondía a datos públicos, disponibles solo para quienes no habían restringido su visibilidad.
A pesar de la respuesta de la empresa, los investigadores señalaron que no hallaron obstáculos técnicos significativos durante la extracción de datos y que la vulnerabilidad había sido advertida en 2017 por el investigador holandés Loran Kloeze. Entonces, Meta (antes Facebook) consideró que las configuraciones de privacidad funcionaban correctamente y no otorgó recompensa alguna por el reporte.
PUBLICIDAD
Sin embargo, la nueva investigación demostró que la protección contra la recolección masiva de datos seguía siendo insuficiente hasta 2023, lo que permitió la enumeración de todos los números registrados en WhatsApp, una cifra muy superior a la de años anteriores.
Posibles consecuencias
El riesgo no se limita a la obtención de números de teléfono. Los investigadores advirtieron que estos datos pueden emplearse para crear bases de datos para estafas o spam y, en países donde WhatsApp está prohibido, los gobiernos podrían usarlos para identificar y perseguir usuarios, como ha ocurrido en China.
PUBLICIDAD
El análisis técnico del equipo de Viena reveló otros problemas de seguridad. Al examinar las claves criptográficas asociadas a 3.500 millones de cuentas, detectaron que muchas compartían claves duplicadas, lo que supone un riesgo, pues podría permitir a terceros descifrar mensajes ajenos.
Algunas claves se reutilizaban cientos de veces y, en 20 números estadounidenses, consistían solo en ceros. Los investigadores sugirieron que esto podría deberse al uso de clientes no autorizados, y observaron que varias cuentas estaban vinculadas a actividades fraudulentas.
PUBLICIDAD
Además de la ausencia de limitaciones técnicas, los investigadores expusieron un problema estructural: utilizar números de teléfono como identificadores únicos en servicios de gran escala como WhatsApp es intrínsecamente inseguro. La baja aleatoriedad facilita la recolección masiva de datos y, aunque el ‘rate-limiting’ ayuda a mitigar el riesgo, no garantiza una protección total si la facilidad de descubrimiento de contactos sigue siendo prioritaria.
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
La inesperada mejora de la nueva actualización de Windows 11: Photoshop funciona más rápido
La tecnología SPGO permite optimizar el uso real del programa en ordenadores con el sistema operativo de Microsoft
Diseñan planta solar espacial que transmitirá energía a más de 36.000 kilómetros de la Tierra
El sistema experimental logró transmitir electricidad en forma de microondas hasta un receptor a 100 metros
Cómo ver gratis Las Guerreras K-pop solo por hoy
Por su primer aniversario, Netflix está realizando una transmisión especial en una red social para que los fanáticos vean diferentes versiones dobladas de la película
De la fábrica a la cocina: robot de 3 brazos corta pescado con una precisión del 95%
Investigadores de la Universidad Noruega de Ciencia y Tecnología aplicaron inteligencia artificial para entrenar al robot en entornos virtuales
Qué significa el emoji del 100 en WhatsApp
Este símbolo puede ser usado para expresar que estás de acuerdo con algo o darle la razón a alguien
