Whatsapp

WhatsApp vuelve a fallar en seguridad

VeraSoul
VeraSoul Seguridad
5 Min.

WhatsApp se ha ido actualizando para mejorar en seguridad y estabilidad, así como para añadir nuevas funciones. Una de esas funciones menos conocidas es la de hacer «Clic para Chatear», la cual permite abrir una conversación con alguien si que se tenga el número de teléfono guardado en la agenda de nuestro terminal. Sabiendo el número de teléfono de cualquier persona, si la misma tiene una cuenta activa de WhatsApp, entonces podemos crear un enlace que nos permitirá dar comienzo a una conversación con la misma. De dicha forma, al hacer clic sobre dicho enlace, dará comienzo el chat de forma automática.

Clic para Chatear con WhatsApp…

La función de la que hablamos está disponible tanto en el teléfono como en WhatsApp Web. Y en estos momentos está creando problemas a Facebook, ya que ha provocado un fallo de seguridad que está exponiendo los números de teléfono de cientos de miles de usuarios: según Athul Jayaram, investigador de La India y «caza-bugs» (caza errores) de programas, al usar esta función provacamos que nuestro número de teléfono aparezca en los resultados de búsqueda públicos de Google, abriendo la puerta a todo tipo de estafas y ciberataques.

Pero…. ¿cómo es posible que WhatsApp, tan preocupada por la seguridad que usa cifrado de extremo a extremo, esté haciendo esto? Dichos números de teléfono están siendo expuestos por el dominio «wa.me» propiedad de WhatsApp, que almacena los metadatos de Click to Chat en una cadena de URL (por ejemplo, https://wa.me/<WhatsApp number>). Dado que no existe ninguna medida que impida que los motores de búsqueda indexen estos metadatos, los números se filtran en los resultados de búsqueda públicos.

Whatsapp Vuelve A Fallar En Seguridad

Según Jayaram, «tu número de móvil es visible en texto plano en esta URL, y cualquiera que se apodere de la URL puede conocer tu número de móvil”. Esto es algo que “no se puede revocar. A medida que se filtran números de teléfono individuales, un atacante puede enviarles mensajes, llamarlos, vender sus números de teléfono a vendedores, spammers y estafadores«.

Más de 300.000 números filtrados por WhatsApp…

Jayaram se puso a rastrear el dominio a través de Google, descubriendo en teoría hasta un total de más de 300.000 números de WhatsApp que estaba al alcance de cualquiera en Google.  ¿Qué es lo peor de todo? Pues que si bien en la página web que te los muestra no aparece el nombre completo de usuario, sí que puede verse la foto de su perfil, caso de tenerla, lo que es peor.

 Jayaram avisó sobre la marcha a Facebook , con el propósito de dar cuenta de su hallazgo y que solucionaran ese gran error, sin embargo de forma inesperada WhatsApp desestimó su petición porque según ellos, “los usuarios de WhatsApp tienen una supervisión total de la información adjunta a su perfil que se pone a disposición del público”.

“Aunque apreciamos el informe de este investigador y valoramos el tiempo que se tomó para compartirlo con nosotros, no cumplía los requisitos para recibir una recompensa, ya que simplemente contenía un índice del motor de búsqueda de las URL que los usuarios de WhatsApp eligieron hacer públicasTodos los usuarios de WhatsApp, incluidas las empresas, pueden bloquear los mensajes no deseados con sólo pulsar un botón”.

Según WhatsApp

¿Quieres saber si tu número está en ese listado?…

Utilizando la cadena de búsqueda de Jayaram, al buscar ‘site:wa.me “+” en Google vemos que arroja 35.900 resultados -una cifra lejana de los 300.000 que el investigador señala, pero igualmente alta. Repitiendo esa búsqueda con esta cadena, site:wa.me “+34”, podríamos ver que hay alrededor de 1.350 números (caso de no seguir aumentando).  Aunque hay varios pertenecientes a empresas y otros son de contenido erótico, también los hay personales.

Compartir
Dejar un comentario