Este audio se genera automáticamente. Por favor, háganos saber si tiene algún comentario.
Oye, ¿recuerdas que informé a principios de mes que WhatsApp pronto permitirá el uso de nombres de usuario, en lugar de números de teléfono, como identificador principal en la aplicación?
Sí, resulta que hay una razón de seguridad para esto, ya que investigadores austriacos descubrieron que puedes ingresar cada combinación posible de números de teléfono, a través de un proceso automatizado, y encontrar información de contacto, incluido el nombre y las imágenes de perfil, de cada usuario de WhatsApp existente.
Lo que, según afirman, es un fallo de seguridad importante que Meta, la empresa matriz de WhatsApp, no ha solucionado durante años.
Según lo informado por Wired, un equipo de investigadores de seguridad austriacos utilizó este método para extraer los números de teléfono de 3.500 millones de usuarios de la plataforma.
Según Wired:
“Para aproximadamente el 57% de esos usuarios, también descubrieron que podían acceder a sus fotos de perfil, y para otro 29%, al texto de sus perfiles. A pesar de una advertencia previa sobre la exposición de estos datos por parte de WhatsApp por parte de un investigador diferente en 2017, dicen, la empresa matriz del servicio, Meta, aún no limitó la velocidad o la cantidad de solicitudes de descubrimiento de contactos que los investigadores podían realizar al interactuar con la aplicación basada en navegador de WhatsApp, lo que les permitió verificar aproximadamente cien millones de números por hora.“
Con esto, podría crear una base de datos bastante completa de nombres y números de teléfono, que podrá utilizar para cualquier propósito que elija.
Desde entonces, los investigadores han compartido sus hallazgos con Meta, que implementó nuevos límites de velocidad en respuesta para evitar que las personas utilicen esto como un vector de raspado masivo.
Pero incluso con límites de velocidad, esto sigue siendo una preocupación de seguridad, y es probable que sea la razón por la que Meta ahora está avanzando hacia el uso de nombres de usuario como identificador, para abordar las preocupaciones sobre el posible robo de datos.
Para ser claros, la cantidad de información a la que un scraper puede acceder a través de WhatsApp sigue siendo limitada, y solo los datos básicos del perfil están disponibles a través de la coincidencia de números de teléfono, mientras que los usuarios también pueden hacer que su perfil sea privado para protegerse de ello.
Meta también dice que no ha encontrado evidencia de que actores maliciosos abusen de este elemento, mientras que también subraya que los mensajes reales de los usuarios permanecen privados y protegidos por el cifrado de extremo a extremo predeterminado de WhatsApp.
Entonces, en términos generales, esto no es una exposición masiva de datos, pero podría permitir a actores maliciosos crear bases de datos de nombres y números de usuarios para utilizarlos en actividades fraudulentas.
Como tal, se puede esperar que WhatsApp dé un mayor impulso a los nombres de usuario en el futuro, ya que busca abordar cualquier inquietud, al mismo tiempo que monitorea el abuso en la coincidencia de números de teléfono para proteger a los usuarios de WhatsApp.
Es un riesgo menor de exposición de datos, pero es un riesgo de cualquier manera, y tiene sentido, entonces, que Meta ofrezca opciones alternativas para ayudar a limitar el daño potencial.
WhatsApp ha proporcionado a SMT esta declaración:
“Agradecemos a los investigadores de la Universidad de Viena por su asociación responsable y diligencia bajo nuestro programa Bug Bounty. Esta colaboración identificó con éxito una nueva técnica de enumeración que superó nuestros límites previstos, permitiendo a los investigadores extraer información básica disponible públicamente. Ya habíamos estado trabajando en sistemas anti-scraping líderes en la industria, y este estudio fue fundamental para realizar pruebas de estrés y confirmar la eficacia inmediata de estas nuevas defensas. Es importante destacar que los investigadores eliminaron de forma segura los datos recopilados como parte del estudio y no hemos encontrado evidencia de actores maliciosos que abusan de este vector. Como recordatorio, los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado de extremo a extremo predeterminado de WhatsApp, y los investigadores no tuvieron acceso a ningún dato no público”.
