Fuga Masiva de Datos Potencialmente Histórica
Investigadores austriacos han revelado una vulnerabilidad de enumeración masiva en WhatsApp que permitió la extracción de 3.500 millones de números de teléfono de usuarios. Este hallazgo subraya un fallo de seguridad en la función de “descubrimiento de contactos” de la aplicación, que, al carecer de una limitación de velocidad estricta, permitió a los investigadores raspar una gran parte de la base de usuarios de WhatsApp.
El método explotado por los investigadores se basa en cómo WhatsApp facilita la adición de contactos: al ingresar un número de teléfono, la plataforma verifica instantáneamente si ese número está registrado y, a menudo, muestra la foto de perfil y el nombre asociado. Al repetir este proceso miles de millones de veces utilizando la aplicación de WhatsApp basada en navegador, los investigadores pudieron recopilar números de teléfono de casi todos los usuarios de WhatsApp en el mundo.
Alcance de la Exposición de Datos
El estudio, realizado por investigadores de la Universidad de Viena, documentó los siguientes hallazgos sobre la magnitud de la exposición:
- Números de teléfono: Se extrajeron 3.500 millones de números de teléfono.
- Fotos de perfil: Se pudo acceder a las fotos de perfil del 57% de esos usuarios.
- Texto de perfil: Se pudo acceder al texto de perfil del 29% de esos usuarios.
Según los investigadores, este incidente representa “la exposición de números de teléfono y datos de usuario relacionados más extensa jamás documentada”. Los investigadores señalaron que, a pesar de advertencias previas en 2017 sobre la exposición de datos similares, la empresa matriz de WhatsApp, Meta, no había limitado la velocidad de las solicitudes de descubrimiento de contactos. Esto permitió a los investigadores verificar aproximadamente cien millones de números por hora.
Respuesta de Meta y Solución Implementada
Los investigadores notificaron a Meta sobre el hallazgo en abril a través del sistema de recompensas por errores (“bug bounty”). En octubre, Meta implementó una medida de “limitación de velocidad” más estricta que impide el método de enumeración masiva utilizado por los investigadores.
En su declaración, Meta agradeció a los investigadores y clasificó los datos expuestos como “información pública básica” para los usuarios que no habían ajustado sus configuraciones de privacidad para ocultar su perfil. Nitin Gupta, vicepresidente de ingeniería de WhatsApp, afirmó que la compañía ya estaba trabajando en sistemas anti-scraping líderes en la industria y que el estudio fue fundamental para probar la eficacia de estas nuevas defensas. Meta también señaló que no se encontró evidencia de que actores maliciosos abusaran de este vector y reiteró que los mensajes de los usuarios permanecieron privados gracias al cifrado de extremo a extremo.
Conclusión
La vulnerabilidad de enumeración de WhatsApp destaca la importancia crítica de las configuraciones de privacidad y la necesidad de que las plataformas de mensajería implementen sólidas medidas de limitación de velocidad para prevenir la extracción masiva de datos. Si bien Meta ha corregido la vulnerabilidad y no encontró evidencia de explotación maliciosa, el incidente subraya cómo características aparentemente inofensivas pueden ser explotadas para crear filtraciones de datos a gran escala.
Para protegerse de futuras exposiciones, los usuarios deben revisar y ajustar sus configuraciones de privacidad en WhatsApp para limitar quién puede ver su foto de perfil y el texto de estado.