Una antigua vulnerabilidad de WhatsApp expuso 3,500 millones de números de teléfono de usuarios
El número de teléfono de casi todos los usuarios de WhatsApp en el mundo estuvo expuesto durante años.
Conclusiones Clave
- La falla revela lo vulnerable que incluso la plataforma de mensajería más usada del mundo puede ser.
WhatsApp enfrenta esta semana una de las revelaciones de seguridad más delicadas de su historia luego de que se conociera que una falla estructural en su diseño permitió que investigadores académicos extrajeran 3,500 millones de números de teléfono de usuarios alrededor del mundo.
El hallazgo, detallado en un informe de Wired, confirma que Meta fue advertida de este problema en 2017 y, aun así, tardó casi una década en implementar una solución que, según los expertos, era “sorprendentemente simple”.
Relacionado: Sundar Pichai llama a no confiar ciegamente en la inteligencia artificial
Una falla conocida desde hace años
WhatsApp creció apoyado en una de sus funciones más convenientes: basta con agregar un número a la libreta de contactos para saber si esa persona usa la plataforma, y con frecuencia también acceder a su nombre y foto de perfil. Sin embargo, lo que parece una función rutinaria de usabilidad se convirtió en un arma de recolección masiva de datos.
Los investigadores demostraron que, al repetir esa verificación miles de millones de veces, es posible reconstruir una base de datos con prácticamente todos los usuarios de WhatsApp del planeta. Lo hicieron utilizando lo que describen como un exploit “simple”: un sistema automatizado que consultaba números en secuencia sin ninguna restricción.
En 30 minutos, lograron obtener 30 millones de números estadounidenses. A partir de ahí, escalaron el proceso hasta alcanzar 3,500 millones de registros globales, en algunos casos acompañados de la foto de perfil y el texto descriptivo del usuario.
Lo más grave no es solo la magnitud del problema, sino su antigüedad. En 2017, otro investigador ya había notificado a Meta que WhatsApp no imponía límites al número de consultas que podían realizarse, lo que hacía viable exactamente este tipo de ataque.
Ocho años después, el equipo de la Universidad de Viena confirmó que la vulnerabilidad seguía abierta. “Hasta donde sabemos, esta es la exposición más extensa de números de teléfono y datos de usuarios relacionada con un servicio de mensajería jamás documentada”, afirmó Aljosha Judmayer, uno de los autores del estudio.
Relacionado: El impacto de la IA en la ciberseguridad: ¿oportunidad o riesgo real?
Una lenta reacción de Meta
A pesar de la gravedad del fallo, los académicos actuaron con responsabilidad. Eliminaron la base de datos y avisaron a Meta. La compañía tardó alrededor de seis meses en implementar un mecanismo de limitación de velocidad para impedir que el exploit pudiera repetirse a gran escala.
WhatsApp sostiene que ya estaba trabajando en una solución y asegura no haber encontrado indicios de que actores maliciosos explotaran la vulnerabilidad antes de que fuera corregida.
Sin embargo, el caso vuelve a poner sobre la mesa el debate recurrente en la industria tecnológica sobre la privacidad de los datos de los usuarios en línea.
Relacionado: WhatsApp cierra casi 7 millones de cuentas fraudulentas para frenar estafas
Conclusiones Clave
- La falla revela lo vulnerable que incluso la plataforma de mensajería más usada del mundo puede ser.
WhatsApp enfrenta esta semana una de las revelaciones de seguridad más delicadas de su historia luego de que se conociera que una falla estructural en su diseño permitió que investigadores académicos extrajeran 3,500 millones de números de teléfono de usuarios alrededor del mundo.
El hallazgo, detallado en un informe de Wired, confirma que Meta fue advertida de este problema en 2017 y, aun así, tardó casi una década en implementar una solución que, según los expertos, era “sorprendentemente simple”.
Relacionado: Sundar Pichai llama a no confiar ciegamente en la inteligencia artificial
Una falla conocida desde hace años
WhatsApp creció apoyado en una de sus funciones más convenientes: basta con agregar un número a la libreta de contactos para saber si esa persona usa la plataforma, y con frecuencia también acceder a su nombre y foto de perfil. Sin embargo, lo que parece una función rutinaria de usabilidad se convirtió en un arma de recolección masiva de datos.
Los investigadores demostraron que, al repetir esa verificación miles de millones de veces, es posible reconstruir una base de datos con prácticamente todos los usuarios de WhatsApp del planeta. Lo hicieron utilizando lo que describen como un exploit “simple”: un sistema automatizado que consultaba números en secuencia sin ninguna restricción.
En 30 minutos, lograron obtener 30 millones de números estadounidenses. A partir de ahí, escalaron el proceso hasta alcanzar 3,500 millones de registros globales, en algunos casos acompañados de la foto de perfil y el texto descriptivo del usuario.
Lo más grave no es solo la magnitud del problema, sino su antigüedad. En 2017, otro investigador ya había notificado a Meta que WhatsApp no imponía límites al número de consultas que podían realizarse, lo que hacía viable exactamente este tipo de ataque.
Ocho años después, el equipo de la Universidad de Viena confirmó que la vulnerabilidad seguía abierta. “Hasta donde sabemos, esta es la exposición más extensa de números de teléfono y datos de usuarios relacionada con un servicio de mensajería jamás documentada”, afirmó Aljosha Judmayer, uno de los autores del estudio.
Relacionado: El impacto de la IA en la ciberseguridad: ¿oportunidad o riesgo real?
Una lenta reacción de Meta
A pesar de la gravedad del fallo, los académicos actuaron con responsabilidad. Eliminaron la base de datos y avisaron a Meta. La compañía tardó alrededor de seis meses en implementar un mecanismo de limitación de velocidad para impedir que el exploit pudiera repetirse a gran escala.
WhatsApp sostiene que ya estaba trabajando en una solución y asegura no haber encontrado indicios de que actores maliciosos explotaran la vulnerabilidad antes de que fuera corregida.
Sin embargo, el caso vuelve a poner sobre la mesa el debate recurrente en la industria tecnológica sobre la privacidad de los datos de los usuarios en línea.
Relacionado: WhatsApp cierra casi 7 millones de cuentas fraudulentas para frenar estafas
