Una vulnerabilidad de WhatsApp ha expuesto la friolera de 3.500 millones de números de teléfono de sus usuarios

Las llamadas telefónicas han pasado a un segundo plano desde que existen las aplicaciones de mensajería instantánea. Las nuevas generaciones prefieren enviar un mensaje de texto o una nota de voz a marcar un número y hacer sonar el móvil de otra persona durante varios segundos. Esto se debe a que la comunicación escrita permite una respuesta más pausada y controlada, reduciendo así la ansiedad social y la telefonofobia que sufren muchos jóvenes.

Existen unas cuantas aplicaciones de mensajería instantánea en el mercado, pero pocas son tan populares como WhatsApp. La propuesta de Meta, adquirida en 2014, tiene alrededor de 3 mil millones de usuarios activos mensuales. Es la opción favorita de los españoles (se estima que más de 30 millones la tienen instalada en sus smartphones) y de muchos otros países como India (el mercado mayoritario), Brasil (el segundo mercado más grande), Indonesia, México, Nigeria y otros territorios europeos.

Aunque no es la más segura por defecto, ofrece varios ajustes para evitar que personas ajenas a nuestros contactos puedan ver nuestro número de teléfono, fotografía de perfil y hasta estado. No obstante, no todos los usuarios dedican un par de minutos a revisarlos, por lo que resulta bastante sencillo asociar a alguien «jugando» con esta información. Lo ha comprobado la Universidad de Viena.

Los investigadores han averiguado otros datos sensibles, como el sistema operativo usado o los dispositivos vinculados

WhatsApp en smartphone

Un grupo de investigadores de TI y Seguridad de la Universidad de Viena y SBA Research (centro de investigación de seguridad de la información austríaco) identificó y reveló de forma responsable una debilidad a gran escala en la privacidad en el mecanismo de detección de contactos de WhatsApp, lo que le permitió enumerar 3.500 millones de cuentas. Gracias a su investigación, Meta ha abordado y solucionado el problema.

Este mecanismo de la aplicación de mensajería puede usar la agenda de un usuario concreto para encontrar a otros usuarios por su número de teléfono. Los investigadores lo aprovecharon para demostrar que era posible consultar más de 100 millones de números de teléfono por hora a través de la infraestructura de WhatsApp, confirmando más de 3.500 millones de cuentas activas en 245 países. Gabriel Gegenhuber, de la Universidad de Viena y autor principal del estudio, explicó:

Normalmente, un sistema no debería responder a un número tan alto de solicitudes en tan poco tiempo, especialmente cuando proviene de una única fuente. Este comportamiento expuso el fallo subyacente, que nos permitió emitir solicitudes prácticamente ilimitadas al servidor y, al hacerlo, mapear los datos de los usuarios en todo el mundo.

Estos datos son públicos para cualquier persona que conozca el número de teléfono de un usuario. El procedimiento consiste en: número de teléfono, claves públicas, marcas de tiempo y, si están configuradas como públicas, sobre texto y foto de perfil. Con estos datos, los investigadores extrajeron información adicional, como el sistema operativo de cada usuario, la antigüedad de la cuenta o el número de dispositivos vinculados.

De la investigación se ha obtenido información bastante interesante, como millones de cuentas activas de WhatsApp en países donde la plataforma está prohibida oficialmente, como China, Irán y Myanmar. También que el número de dispositivos Android (81 %) con WhatsApp instalado es mucho más numeroso que el de iOS (19 %).

"Estos hallazgos nos recuerdan que incluso sistemas maduros y ampliamente confiables pueden contener fallos de diseño o implementación que tienen consecuencias en el mundo real", dice Gegenhuber. "Demuestran que la seguridad y la privacidad no son logros puntuales, sino que deben ser reevaluados continuamente a medida que la tecnología evoluciona", añadió.