Fallo de seguridad en WhatsApp: cómo saber si tu número de teléfono se ha publicado en Google

Un 'bug' en la aplicación ha permitido que 300.000 números de teléfono se hayan indexado en Internet.

whatsapp-fallo
iStock

Un investigador independiente de seguridad informática, Athul Jayaram, reveló que el número de teléfono de una gran cantidad de usuarios de WhatsApp se podía conocer buscando en texto sin formato en la Búsqueda de Google. Jayaram explicó en su blog haber encontrado un problema de seguridad en la web de WhatsApp. Según Jayaram, el bug ha permitido que se filtren alrededor de 300.000 números de teléfono de usuarios de WhatsApp de una manera en la que puede acceder cualquier persona que use Internet.

Según Jayaram, los usuarios afectados son de casi todos los países del globo, incluidos EE. UU., México, Indonesia, Reino Unido, India, Rusia, China, España, Pakistán, Malasia y muchos más. Y es que la gravedad del fallo de seguridad es que permite acceder a la información en la web abierta, no en la web oscura o darknet.

Según el experto, la compañía podría haber evitado este problema de privacidad si WhatsApp encriptara los números de teléfono de los usuarios e incluyera un archivo robots.txt. Esto habría impedido que los bots rastrearan el dominio, así como una etiqueta Meta sin índice en las páginas. Sin embargo, WhatsApp, no había tenido en cuenta estas medidas.

Jayaram ahondó en que WhatsApp debería preocuparse más por las vulnerabilidades de seguridad ya que la plataforma tiene una gran base de usuarios. Hoy en día, los números de teléfono de muchas personas están conectados a sus servicios online, cuentas bancarias, tarjetas de crédito y billeteras de criptomonedas, etc. Si un intruso informático conoce los números de teléfono de los usuarios, existe la posibilidad de que pueda llevarle a realizar intercambios de tarjetas SIM y realizar ataques de clonación.

Debido a este problema de privacidad, individuos desconocidos, cibercriminales, ejecutivos de marketing y estafadores pueden encontrar el número de teléfono móvil de los usuarios. Si una persona hubiera configurado la privacidad de WhatsApp en modo público, este problema de privacidad puede ayudar a que los estafadores hayan accedido a datos personales como el estado del perfil, el nombre o la imagen de perfil, etc. Jayaram recomendó que la mejor solución es eliminar la cuenta de WhatsApp o cambiar el número de teléfono.

El “contratiempo” reside en la función 'Click to Chat' (Clic para chatear) de WhatsApp que permite a los usuarios mantener conversaciones con personas sin guardar sus números. La función genera la URL "https://wa.me/. Crea el enlace para la conversación pero no lo cifra, quedando expuesto el número de teléfono al no haber nada que impida que Google lo vea y lo indexe y, a medida que se filtran números de teléfono individuales, un atacante puede enviarles mensajes, llamarles y vender sus números de teléfono a vendedores, spammers, o estafadores. Cualquiera que tenga esta URL puede conocer el número de móvil.


Sea como fuere, WhatsApp afirma haber solucionado temporalmente (y está trabajando para resolverlo de forma definitiva) el problema que mostraba los números de teléfono de los usuarios en los resultados de búsqueda de Google. No es la primera vez que se alerta de un agujero de seguridad de este tipo en WhatsApp. Si bien el problema parece estar solucionado, es un fallo de seguridad bastante grande y aparentemente lleva sucediendo durante al menos varios meses.

 


Para saber si un número de móvil se ha filtrado:

Busca en Google: site:https://api.whatsapp.com/send?phone= +34 XXX (donde XXX son los tres primeros dígitos del teléfono).

 

Sarah Romero

Sarah Romero

Fagocito ciencia ficción en todas sus formas. Fan incondicional de Daneel Olivaw y, cuando puedo, terraformo el planeta rojo o cazo cylons. Hasta que viva en Marte puedes localizarme por aquí.

Continúa leyendo