MADRID, 19 Nov. (CIBERPRO) –
Una vulnerabilidad en WhatsApp ha permitido identificar 3.500 millones de cuentas activas a nivel mundial en el servicio de mensajería, gracias a una investigación que utilizó un generador de números y que ayudó a corregir el fallo, evitando así la exposición de estos datos.
Los nuevos usuarios de WhatsApp pueden averiguar si los contactos guardados en su agenda tienen una cuenta en la plataforma simplemente permitiendo que la aplicación acceda a su lista de contactos. Esto es posible porque WhatsApp mantiene un registro de sus usuarios asociado a sus números de teléfono para facilitar este proceso.
No obstante, este mecanismo «puede ser mal utilizado para verificar si un individuo concreto (como un funcionario público, una expareja o un jefe) está registrado en WhatsApp», siempre que se conozca su número de teléfono, advierte un grupo de investigadores de la Universidad de Viena y la Universidad Técnica de Viena (Austria).
Aunque WhatsApp ha hecho avances en privacidad, este mecanismo puede ser explotado para crear bases de datos masivas con registros de números de teléfono, que luego pueden ser utilizados por actores maliciosos en campañas de ‘spam’, ‘phishing’ o llamadas automáticas.
Para probar esta vulnerabilidad en el sistema de mensajería, los investigadores desarrollaron un método para «generar rápidamente conjuntos de datos de números de teléfono potencialmente activos para 245 países», según indican en su publicación, que está disponible en GitHub.
Concretamente, introdujeron en una API de WhatsApp todos los números de teléfono generados automáticamente para verificar su actividad en el servicio, a una tasa de 7.000 números por segundo por sesión.
Realizaron este proceso desde la misma dirección IP y utilizando cinco cuentas de usuario, sin que WhatsApp las bloqueara, lo que les permitió confirmar 3.500 millones de números registrados (cuentas activas). Esta cifra, según afirman, «supera el ‘más de 2.000 millones de personas’ que WhatsApp declaró oficialmente».
Además, usaron la API XMPP de WhatsApp para obtener más información sobre cada cuenta: claves públicas de encriptación, marcas de tiempo, imágenes de perfil e información comercial.
«La enorme cantidad de datos recopilados nos permite no solo realizar un censo detallado de la población de usuarios de WhatsApp, sino también ofrecer observaciones interesantes a gran escala que el servicio de mensajería puede obtener, incluso sin acceder al contenido de los mensajes», comentan los investigadores.
Con este enfoque, lograron descubrir que Europa representa el 18 por ciento de la base de usuarios de WhatsApp, donde el 64 por ciento utiliza Android, en comparación con el 36 por ciento que tiene dispositivos iOS. Asia se posiciona como el mayor mercado, al concentrar el 47 por ciento de los usuarios; de estos, el 88 por ciento usa Android y el 12 por ciento, iOS.
Los investigadores informaron a WhatsApp sobre su hallazgo y colaboraron con la empresa para implementar contramedidas, lo cual se llevó a cabo a principios de octubre. WhatsApp también aceleró algunas de las medidas que ya tenía en desarrollo para aplicarlas lo más pronto posible.
