WhatsApp experimentó la “mayor exposición de la historia": se revelaron más de 3.500 millones de números

Nadie habría pensado que la misma facilidad con la que se agendan números telefónicos en WhatsApp, sería aplicable para obtener de manera sencilla los contactos de cientos de miles de usuarios. Los internautas, sin saberlo, experimentaron la mayor exposición de números de la historia de la aplicación de mensajería y junto a ello sus fotos de perfil y cientos de datos que estaban adjuntos.

Por qué recomiendan desactivar Meta IA de Whatsapp y cómo hay que hacerlo

Descubrir el número de WhatsApp de un contacto es tan sencillo como añadirlo a lista de teléfono. Rápidamente este se agrega a la aplicación y así, sin buscarlo, obtenemos muchos más datos de los que hubiéramos intentado encontrar: la foto de perfil, su nombre, estado y hora de última vez.

Ahora si repetimos este truco millones de veces con cada número de teléfono posible, resulta que la misma función también puede servir para obtener fácilmente el número de móvil de prácticamente todos los usuarios de WhatsApp del mundo, junto con los obvios datos inherentes. El resultado: una exposición  masiva de información personal de una parte significativa de la población mundial.

El descubrimiento de la exposición masiva

Eso fue lo que descubrió un grupo de investigadores austriacos que logró demostrar que, mediante un método sencillo que consiste en revisar todos los números posibles en la búsqueda de contactos de WhatsApp, consiguió extraer las conexiones de teléfono de 3.500 millones de usuarios del servicio de mensajería. A la misma vez se dieron con que podían acceder a las fotos de perfil de aproximadamente el 57 % de esos usuarios y, en otro 29 %, al texto de sus perfiles.

Los investigadores destacaron el alcance global de la filtración, reportando un alto porcentaje de cuentas expuestas en países como India (62% con fotos de perfil) y Brasil (61%). También se identificaron millones de números en naciones donde la aplicación está prohibida, como China y Myanmar, lo que podría facilitar la persecución de usuarios en contextos represivos.

La mayor extracción de datos de la historia

El resultado habría sido “la mayor filtración de datos de la historia, de no haberse recopilado como parte de un estudio de investigación realizado de manera responsable”, como lo describen los investigadores en un artículo que documenta sus hallazgos.

“Hasta donde sabemos, esta es la exposición más extensa de números de teléfono y datos de usuario relacionados jamás documentada”, afirmó Aljosha Judmayer, uno de los investigadores de la Universidad de Viena que trabajó en el estudio.

La protección fue insuficiente

Los investigadores afirman haber advertido a Meta sobre sus hallazgos en abril y haber eliminado su copia de los 3.500 millones de números de teléfono. Recién en octubre, la empresa aseguró que había solucionado el problema de enumeración implementando una medida de limitación de velocidad más estricta ("rate-limiting") que impide el método de descubrimiento de contactos a gran escala utilizado por los investigadores.

Sin embargo, hasta entonces, la exposición de datos también podría haber sido aprovechada por cualquier otra persona que utilizara la misma técnica de extracción, por lo que la protección contra la recolección masiva habría sido insuficiente durante años. "Si nosotros pudimos obtener esta información con tanta facilidad, otros también podrían haber hecho lo mismo", afirmó Max Günther, otro investigador de la universidad y coautor del artículo.

Desde WhatsApp expresaron a LA GACETA: "Estamos agradecidos con los investigadores de la Universidad de Viena por su colaboración responsable y dedicación en nuestro programa de recompensas por errores (Bug Bounty). Gracias a esta colaboración, se identificó exitosamente una técnica de enumeración innovadora que excedía los límites previstos, permitiendo a los investigadores recopilar información básica disponible públicamente. Ya estábamos desarrollando sistemas líderes en la industria para prevenir la recolección automatizada, y este estudio fue fundamental para poner a prueba y confirmar la eficacia inmediata de estas nuevas defensas. Es importante destacar que los investigadores eliminaron de manera segura los datos recopilados durante el estudio, y no hemos encontrado evidencia de que actores maliciosos hayan explotado este vector. Como recordatorio, los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado de extremo a extremo predeterminado de WhatsApp, y los investigadores no tuvieron acceso a ningún dato no público".