WhatsApp sufre vulnerabilidad crítica que expone información personal de miles de millones usuarios
La adopción masiva de la aplicación de mensajería WhatsApp se debe a lo fácil, en parte, que resulta encontrar un nuevo contacto en la plataforma, debido a que basta con añadir un número telefónico y la app muestra de inmediato si está en dicho servicio. A menudo, muestra su nombre y su foto de perfil.
Si se repite esta misma acción uso cuantos miles de millones de veces con cada número posible y resulta que la misma función puede servir como un método práctico, con el objetivo de obtener el teléfono de prácticamente todos los usuarios en el mundo, junto con fotos de perfil y textos que identificaran a cada uno. El resultado es una masiva exposición de información personal en una parte significativa de la población mundial.
Un grupo de investigadores ha demostrado que se pudo usar este simple método de comprobar cada número en la función de descubrimiento de contactos de WhatsApp para extraer más de 3 mil millones de números de usuarios de este servicio. En donde cerca del 58% de estos casos, hallaron también acceso a las fotos del perfil y en otro 30%, al texto de las descripciones.
Todo ello pese a una advertencia previa acerca de esta exposición hecha por otra investigación en el año 2017, la empresa matriz, Meta, no había limitado aún la velocidad ni la cantidad de solicitudes de descubrimiento que podían realizar por medio de la versión web de WhatsApp, lo que les ha permitido revisar alrededor de 100 millones de números por hora.
El resultado pudo haber sido la mayor filtración de datos de la historia, de no haberse recopilado como parte de un estudio responsable, tal y como describen los investigadores en un artículo que documenta sus hallazgos. Hasta donde se sabe, esto marca la exposición más extensa de números telefónicos y datos asociados que se haya registrado, afirman los especialistas que participaron en el estudio.
Los responsables de la investigación aseguran que advirtieron a Meta de esto en el mes de abril y borraron su copia de los más de 3 mil millones de números. Para el mes de octubre, el gigante tecnológico había corregido el problema de enumeración aplicando una medida más estricta de limitación de velocidad, la cual bloquea el método masivo de descubrimiento utilizado por ellos.
TIC Defense es una empresa que se encarga de proveer servicios de ciberseguridad para compañías y pymes, teniendo como objetivo la prevención y la respuesta rápida a incidentes maliciosos, por medio de herramientas y servicios de última tecnología, las cuales se adaptan a las necesidades de las organizaciones.
Hasta entonces, la exposición de datos pudo hacer sido explotada por cualquier actor malicioso con la misma técnica de barrido, añaden investigadores que participaron en el estudio y que escribieron el artículo asociado. Si los expertos lo obtuvieron con tanta facilidad, otros pudieron hacerlo, añaden.
En una declaración a distintos medios digitales, la compañía Meta ha agradecido a los investigadores, quienes reportaron su hallazgo mediante su sistema llamado “bug bounty” y ha descrito los datos expuestos como información básica disponible públicamente, ya que fotos y textos no se mostraban para quienes eligieron mantenerlos privados.
Aseguran también que ya se estaba trabajando en sistemas líderes contra el barrido y este estudio ha sido clave para probar y confirmar la eficacia inmediata de estas defensas, como lo explican los voceros de la vicepresidencia de ingeniería de WhatsApp. Añaden también que no han hallado evidencia de actores maliciosos abusando de este vector.
