Falla de seguridad en WhatsApp expuso 16 millones de números de teléfono de Ecuador

La presión sobre WhatsApp para crear un entorno digital seguro para sus cerca de 3.000 millones de usuarios a nivel mundial aumenta después que un grupo de investigadores reveló una falla de seguridad que estuvo presente en la popular app de mensajería con la que se podía acceder virtualmente a todos los números telefónicos de la plataforma, así como a otros datos personales.

Según reveló un reportaje de la revista WIRED, expertos del centro de investigación austríaco SBA Research y la Universidad de Viena descubrieron una importante falla de seguridad en WhatsApp que permitía, con ayuda de bots, obtener los números telefónicos activos de cerca de 3.500 millones de cuentas en 245 países, incluido Ecuador.

En total, los investigadores encontraron 16.024.559 cuentas de WhatsApp activas en Ecuador. Además, se pudo obtener las fotografías de perfil del 48,19% de esas cuentas.

• WhatsApp trabaja en una función para limitar la cantidad de mensajes nuevos

100 millones de números por hora

Los investigadores señalaron en un boletín de prensa que mediante técnicas de 'scraping' (es decir, obtener información de internet en masa con la ayuda de bots) lograron obtener más de 100 millones de números telefónicos activos por hora, al explotar una vulnerabilidad que estuvo activa en el mecanismo de 'Descubrir Contactos' de WhatsApp.

'Descubrir Contactos' (o Contact Discovery, en inglés) es la función que permite que si uno tiene guardado un número telefónico en el celular, WhatsApp revela que esa persona puede ser contactada dentro de la app. Dependiendo de la configuración del usuario, también se muestra la fotografía de perfil o la descripción. 

Potencialmente también se puede revelar el nombre de la persona, si es que ha sido ingresado en la app.

• WhatsApp: ¿Cómo silenciar llamadas de desconocidos o de números no 'deseados'?

Mensajes encriptados. Metadatos, no.

"En circunstancias normales, un número tan grande de peticiones desde una sola fuente o servidor no debería ser procesado. Esa fue la vulnerabilidad: fuimos capaces de enviar virtualmente peticiones ilimitadas al servidor y, en consecuencia, realizar una enumeración global" de las cuentas de WhatsApp, expuso Gabriel Gegenhuber, el autor principal del la investigación de SBA Research, en el boletín.

Los expertos afirman que, además, lograron determinar qué números estaban activos en dispositivos secundarios (otros celulares, tabletas o WhatsApp Web).

SBA Research asegura que en el estudio no se accedió a mensajes personales, debido a la encriptación E2E (de extremo a extremo) que está integrada a Whatsapp. Sin embargo, el investigador Aljosha Judymayer observó que si bien los mensajes están protegidos por la encriptación E2E, no ocurre lo mismo con los metadatos asociados (número telefónico, fotografía de perfil, última conexión, descripciones, nombres).

• Estas son las recomendaciones de WhatsApp para hacer frente a las estafas

¿Qué riesgo habría?

Nitin Gupta, el vicepresidente del departamento de Ingeniería de WhatsApp, afirmó a SBA Research que Meta no tiene evidencia de que cibercriminales abusaron de esta falla de seguridad y que desde que el equipo de investigadores les reportó de este riesgo, se implementaron medidas para frustrar técnicas de 'scraping'.

Según expusieron los investigadores austríacos en su estudio, si actores maliciosos tuvieran acceso a esa información "estos datos podrían ser explotados para campañas de SPAM, ataques de phishing, o 'robocalls' (para clonar la voz o verificar la ubicación de una persona), representando serios riesgos de privacidad y seguridad.