Las filtraciones de datos están a la orden del día y si hace una semana te contamos que más de 21.000 clientes de ING se vieron afectados por una brecha de seguridad externa, ahora acabamos de saber que unos investigadores en ciberseguridad han descubierto que WhatsApp tiene un fallo de seguridad "increíblemente simple" que expone unos 3.500 millones de números de teléfono de usuarios del popular cliente de mensajería.

Esta vulnerabilidad deja al descubierto a los números de teléfono y las fotos de perfil de los contactos de WhatsApp

Como revela un reciente informe del medio Wired, un grupo de investigadores de la Universidad de Viena han demostrado que usando la función de descubrimiento de contactos de WhatsApp miles de veces han conseguido recopilar los datos de 3.500 millones de usuarios de la plataforma de mensajería propiedad de Meta.

Hasta donde sabemos, esto marca la exposición más amplia de números de teléfono y datos de usuarios relacionados jamás documentada.

Entre los datos que han conseguido extraer estos investigadores austríacos se encuentran los 3.500 milliones de números de teléfono de estos usuarios, así como las fotos de perfil del 57 % de los mismos y la información del perifl de un 29 % de estos.

Como relatan estos investigadores en un artículo publicado en GitHub, para conseguir demostrar esta grave vulnerabilidad lo que hicieron fue automatizar el proceso de descubrimiento de contactos mediante scripts y, a continuación, alimentaron el sistema con miles de millones de combinaciones de números de teléfono internacionales para ver cuáles devolvían una cuenta válida.

Asimismo, también explican que pudieron extraer millones de números de teléfono de contactos de WhatsApp porque Meta no tenía implementados límites de velocidad efectivos en su versión web/navegador para detener estas comprobaciones masivas.

Los investigadores de este estudio aseguran que ya avisaron a Meta de esta brecha de seguridad el pasado mes de abril y que también eliminaron la base de datos con los 3.500 millones de números de teléfono de WhatsApp.

Por su parte, Meta, la empresa matriz de WhatsApp, le aseguró a Wired que estos investigadores les notificaron esta vulnerabilidad a través de su sistema "bug bounty" y que les agradecieron su labor de prevención adecuadamente.

Ya habíamos estado trabajando en sistemas antiescraping líderes en el sector, y este estudio fue fundamental para realizar pruebas de estrés y confirmar la eficacia inmediata de estas nuevas defensas. No hemos encontrado pruebas de que actores maliciosos hayan abusado de este vector. Cabe recordar que los mensajes de los usuarios se mantuvieron privados y seguros gracias al cifrado de extremo a extremo predeterminado de WhatsApp, y que los investigadores no tuvieron acceso a ningún dato que no fuera público.

Además, Meta también afirmó que los datos expuestos son "información básica disponible públicamente" y que las fotos de perfil y la información del perfil de los usuarios que las tenían como privadas no fueron expuestas.