Una vulnerabilidad de seguridad crítica en WhatsApp ha expuesto los números de teléfono y la información de perfil asociada de más de 3 mil millones de usuarios en todo el mundo, lo que genera serias preocupaciones sobre la privacidad de la aplicación de mensajería más popular del mundo. La falla, descubierta por investigadores de la Universidad de Viena y SBA Research, permite a actores maliciosos extraer datos de los usuarios a una escala sin precedentes.
Cómo funciona la vulnerabilidad
El núcleo del problema radica en el mecanismo de descubrimiento de contactos de WhatsApp. Cuando un usuario otorga permiso a la aplicación para acceder a su libreta de direcciones, WhatsApp compara esos números con su base de datos central para mostrar qué contactos también están en la plataforma. Sin embargo, este mismo proceso se puede aprovechar para enumerar sistemáticamente números de teléfono, fotos de perfil y estados “Acerca de” sin autorización.
“Este problema resalta un problema fundamental con la arquitectura de WhatsApp: el número de teléfono en sí es la vulnerabilidad”. — Marijus Briedis, director de tecnología de NordVPN.
Esto significa que cualquier persona con habilidades técnicas básicas podría haber recopilado potencialmente miles de millones de puntos de datos, lo que habría permitido ataques altamente dirigidos, incluyendo estafas de phishing, suplantación de identidad y ingeniería social. La velocidad a la que se podrían extraer estos datos es particularmente alarmante.
Las implicaciones más amplias
Este incidente subraya una tendencia más amplia: los riesgos inherentes de usar números de teléfono como identificadores de usuario primarios. Los números de teléfono son públicos, permanentes y fáciles de eliminar, lo que los hace inadecuados para la autenticación segura en entornos digitales modernos. Muchas plataformas todavía dependen de números de teléfono para el registro y la verificación, lo que crea una vulnerabilidad sistémica que los ciberdelincuentes pueden explotar.
Los hallazgos de los investigadores, publicados en un artículo preimpreso titulado “¡Hola!” Estás usando WhatsApp: enumerando tres mil millones de cuentas para seguridad y privacidad”, son un claro recordatorio de que incluso las plataformas maduras como WhatsApp no son inmunes a fallas de diseño fundamentales.
Respuesta de Meta y acusaciones recientes
Meta, la empresa matriz de WhatsApp, afirma haber abordado y mitigado la vulnerabilidad, afirmando que no hay evidencia de explotación maliciosa. La empresa también reconoce la divulgación responsable por parte de los investigadores de la Universidad de Viena en el marco de su programa Bug Bounty.
Sin embargo, esto se produce después de las recientes acusaciones de un exjefe de seguridad de WhatsApp, Attaullah Baig, quien presentó una demanda alegando fallas sistémicas al abordar la apropiación de cuentas y la piratería, con más de 100.000 cuentas comprometidas diariamente. Las afirmaciones de Baig sugieren que las prácticas de seguridad de WhatsApp pueden ser más laxas de lo que se reconoce públicamente.
Qué significa esto para los usuarios
La exposición de esta falla es una llamada de atención tanto para los usuarios como para las plataformas. Destaca la necesidad de métodos de verificación de identidad más sólidos más allá de los números de teléfono, como identificadores descentralizados o autenticación biométrica.
En última instancia, este incidente refuerza la realidad de que la privacidad en línea es una batalla continua, no un estado fijo. Los usuarios deben permanecer atentos a sus huellas digitales y las plataformas deben priorizar medidas de seguridad sólidas para proteger su base de usuarios.
