WhatsApp se dejó la puerta trasera abierta: Investigadores de seguridad de la Universidad de Viena y SBA Research crean un censo con los 3.500 millones de usuarios del mundo

Extremar las precauciones a la hora de contestar llamadas de teléfono, descargar archivos adjuntos o pinchar en enlaces de correos electrónicos o sms cada vez es más necesario. Aumentan las estafas en las que también interviene la inteligencia artificial, aunque las filtraciones de datos por brechas de seguridad de las que se aprovechan los ciberdelincuentes como le ha sucedido a Endesa Energía siguen siendo la principal causa de que nuestros datos puedan estar al alcance de cualquiera.

Las vulnerabilidades en materia de seguridad están a la orden del día y con demasiada frecuencia los usuarios detectan un incremento en el número de llamadas recibidas o de correos electrónicos en los que se les solicita efectuar alguna acción sin su petición previa. El ejemplo de estos últimos días con Instagram, pese al aviso de restitución de la plataforma, pone de manifiesto que Meta, dada la importancia de las compañías que engloba y los millones de usuarios que las emplean, debe priorizar este aspecto.

WhatsApp no se libra de las brechas de seguridad

A lo sucedido con Instagram hay que sumarle un nuevo evento que habla de la vulnerabilidad de las plataformas, en este caso WhatsApp. El servicio de mensajería por excelencia, empleado por 3.500 millones de usuarios, ha visto como un grupo de investigadores ha sido capaz de explotar una brecha de seguridad para hacerse con los datos tales como nombre de usuario, foto de perfil o mensajes de estado de todos los miembros presentes en la plataforma mediante la función de descubrimiento de contactos de la misma.

Los protagonistas del hallazgo han sido investigadores de seguridad de la Universidad de Viena y SBA Research, que han aprovechado una falla de seguridad masiva que WhatsApp ya ha subsanado para hacerse con información que les ha permitido aglutinar detalles de todos los contactos que hacen uso del servicio de mensajería. La función de descubrimiento de contactos está pensada para consultar los contactos de la libreta de direcciones, pero los investigadores, que publicaron su estudio en la plataforma Github, descubrieron que la interfaz no tenía suficientes límites de velocidad para las consultas. 

Esa baza fue suficiente para llevar a cabo 100 millones de consultas de números de teléfono por hora a través de las cuales se fueron haciendo poco a poco con información de cada uno de los miembros presentes en la plataforma. Al finalizar con las consultas que le permitió WhatsApp, el equipo investigador había logrado hacerse con información de las 3.500 millones de cuentas activas que existen. Entre los detalles a los que tuvieron acceso, además de fotografía de perfil, actualizaciones de estado y horario de última vez en línea, se encuentra por ejemplo el reparto de cuota de mercado entre usuarios que se utilizan WhatsApp a través de un dispositivo Android (81%) y quienes lo hacen desde iOS (19%). 

Meta, al tanto de la vulnerabilidad

En este caso el grupo investigador no tenía ningún afán de lucro en su estudio, como lo demuestra el hecho de que reportó a Meta, empresa matriz de WhatsApp además de Instagram, Facebook y Threads, el resultado de sus averiguaciones. Gracias a ello, la compañía que dirige Mark Zuckerberg ha implementado límites de velocidad estrictos para las consultas, anulando así la posibilidad de que se pueda volver a proceder tal como lo han hecho los investigadores de la universidad austriaca. 

Sin embargo, esto no excluye la posibilidad de que otros actores en línea ya hubieran aprovechado la misma vulnerabilidad antes de esta investigación, por lo que la tranquilidad es de nuevo relativa. Una nueva muestra de que las compañías tecnológicas deben trabajar de manera decidida en materia de seguridad si quieren que sus usuarios sigan viendo las plataformas de mensajería y redes sociales como espacios en los que sus datos están a salvo.