Una investigación realizada por expertos en seguridad informática de SBA Research ha revelado una preocupante vulnerabilidad en la forma en que WhatsApp maneja la sincronización de contactos, permitiendo a terceros identificar usuarios activos en la plataforma sin su conocimiento y exponerlos públicamente a través de los motores de búsqueda como Google.

El estudio, titulado “Hey there! You are using WhatsApp”, (¡Hola! Estás usando WhatsApp: Cómo un Censo de Estados de WhatsApp Puede Filtrar Tu Número de Teléfono), detalla cómo una configuración particular de la aplicación, combinada con la forma en que el navegador web indexa los datos de los perfiles de WhatsApp, crea una vulnerabilidad de privacidad.

Los investigadores de SBA Research diseñaron una técnica de “censo” para buscar y recopilar información de perfiles de WhatsApp que utilizaban la función “Clic para chatear” (Click to Chat). Esta función permite a cualquier persona crear un enlace que, al hacer clic, abre un chat de WhatsApp con un número específico sin necesidad de tenerlo guardado en sus contactos.

El estudio se centró en la estructura de estos enlaces, que contienen el número de teléfono del usuario.

El equipo de investigadores utilizó un teléfono Android con WhatsApp instalado y automatizó la importación de millones de números telefónicos mediante herramientas como ADB (Android Debug Bridge). WhatsApp, al sincronizar los contactos, revela si un número está registrado, junto con información básica como el nombre de perfil, la foto y el estado.

Este proceso, que no requiere interacción del usuario objetivo, permite a cualquier persona con conocimientos técnicos realizar un “censo” de usuarios de WhatsApp en una región determinada.

Los hallazgos

El estudio afirma haber identificado un número significativo de perfiles de WhatsApp con números telefónicos indexados. La exposición es particularmente grave en el caso de WhatsApp Business, donde los perfiles suelen incluir información adicional como la ubicación y el correo electrónico, ampliando el riesgo de exposición de datos personales.

En el experimento, se analizaron más de 1.5 millones de números de teléfono en 28 países. El resultado: más de 570 mil usuarios activos fueron identificados. En países como Emiratos Árabes Unidos, la penetración de WhatsApp alcanzó el 95%, lo que demuestra la magnitud del fenómeno.

La indexación de estos números hace que la información sea accesible para cualquiera que sepa cómo buscarla en un motor de búsqueda.

El estudio alerta sobre los riesgos de privacidad que implica esta vulnerabilidad. Dado que WhatsApp no notifica a los usuarios cuando son agregados como contactos, ni limita por defecto la visibilidad de su información de perfil, los investigadores advierten que esta técnica podría ser utilizada con fines de vigilancia, acoso o campañas de ingeniería social.

Si bien WhatsApp ha implementado medidas de seguridad como el cifrado de extremo a extremo, este estudio subraya la necesidad de ser cauteloso con la información que se comparte y con las funciones que se habilitan.

¿Qué se puede hacer?

Los autores del informe recomiendan a WhatsApp implementar medidas más estrictas de privacidad por defecto, como ocultar automáticamente la información de perfil a contactos desconocidos. También instan a los usuarios a revisar sus configuraciones de privacidad para limitar quién puede ver su foto, estado y última conexión.

Además de limitar el uso de “Clic para Chatear”: Si utilizan la función “Clic para chatear” en sitios web, considerar si es absolutamente esencial, especialmente en perfiles personales o de negocios sensibles.

Monitorear la información indexada: Las empresas que utilizan WhatsApp Business deben revisar periódicamente si sus perfiles están siendo indexados y solicitar la eliminación de la información personal de los índices de los motores de búsqueda si es necesario.

En conclusión el estudio pone en evidencia cómo una función aparentemente inofensiva puede convertirse en una herramienta poderosa para recolectar datos personales a gran escala. En un mundo cada vez más conectado, la privacidad digital sigue siendo un terreno frágil que exige vigilancia constante.