Icono de WhatsApp en un smartphone El Androide Libre
Un fallo de WhatsApp deja al descubierto miles de millones de números de teléfono: "sería la mayor filtración de la historia"
Un equipo de investigadores austriacos consiguió usar un "simple fallo" de WhatsApp para obtener los teléfonos de todos los usuarios.
Más información: WhatsApp cambia para siempre con los chats de terceros: qué son y cómo enviarás y recibirás mensajes de Telegram y otros
Siendo una de las apps de mensajería instantánea más populares en todo el mundo, y especialmente en España, la seguridad de WhatsApp es un aspecto incluso más crucial que con otras plataformas.
Afortunadamente, Meta no ha sacrificado la seguridad de WhatsApp, manteniendo funciones estrella como el cifrado de extremo a extremo incluso si perjudican sus ingresos por publicidad. Sin embargo, no existe el programa perfecto, y la seguridad siempre se puede mejorar.
Eso es lo que han demostrado unos investigadores de la Universidad de Viena y SBA Research, que han hecho público el método que usaron para obtener los números de teléfono de 3.500 millones de usuarios; en otras palabras, toda la base de usuarios de la app.
Lo llamativo de este ataque es que es realmente "simple", en el sentido de que no se aprovecha de una extraña vulnerabilidad provocada por código complejo, sino de una funcionalidad básica de WhatsApp, la que permite encontrar a nuestros amigos y conocidos en la app.
Al igual que muchas otras apps, WhatsApp permite usar la lista de contactos de nuestro smartphone para encontrar sus cuentas en la plataforma y añadirlos como amigos; funciona de manera sencilla, obteniendo la lista de números de teléfono almacenados y buscándolos en la base de datos de WhatsApp.
El fallo se encuentra en que el sistema no tenía ningún tipo de limitación; en otras palabras, era posible comprobar cualquier cantidad de números de teléfono. Los investigadores descubrieron esto, y que era posible solicitar más de 100 millones de números de teléfono por hora.
Ese es el motivo por el que el ataque es tan simple: sólo era necesario crear una "lista de contactos" con todos los números de teléfono posibles y pedir a WhatsApp que comprobase si teníamos "amigos" en la plataforma.
Esto abrió la puerta a un tipo de ataque más complejo, ya que al confirmar un número de teléfono, WhatsApp también comparte otros datos del usuario, como la foto de perfil si es pública, asumiendo que, si tenemos el número de teléfono, es porque conocemos a esa persona.
Usando esa información adicional, los investigadores pudieron crear una enorme base de datos de 3.500 millones de usuarios de WhatsApp, que incluía información como el país del usuario, el sistema operativo que usa y la llave de cifrado única para enviarles mensajes.
Distribución de los usuarios de WhatsApp en todo el mundo El Androide libre
De hecho, los investigadores alcanzaron conclusiones bastante curiosas de este ataque, como que millones de usuarios de WhatsApp se encuentran en países que han prohibido esta app, como China o Irán, y que el 81% de los usuarios tiene Android, frente al 19% que usa iOS.
La buena noticia de todo esto es que los investigadores fueron responsables y avisaron a Meta antes de hacer público su descubrimiento, para evitar que hackers y otras personas maliciosas pudiesen usar la vulnerabilidad a su favor.
Como resultado de esta colaboración, WhatsApp ya ha solucionado este error, y ya no es posible obtener la lista de todos los números de teléfono registrados con la app. Si no hubiese sido así, los investigadores creen que esta hubiera sido "la mayor filtración de la historia".
