Skip to main content

Esta función de WhatsApp hará que tu número de teléfono aparezca en Google

(Image credit: Shutterstock / Ink Drop)

Atención porque, según una nueva alerta de seguridad, si usas WhatsApp en un navegador web, cualquiera podría ver tu número de teléfono privado en una búsqueda de Google.

Para que esto suceda debes usar “Click to Chat” (clic par chatear), una función que permite que hables desde un navegador web usando WhatsApp. Por ejemplo: en una página de comercio electrónico puedes escanear el código QR de un producto para hablar con un vendedor via WhatsApp.

Según el investigador de seguridad y cazarrecompensas Athul Jayaram — que no es un personaje de The Mandalorian — si utilizas esta función de WhatsApp podrías exponer tu número privado de teléfono a Google. Este permite la posibilidad de que cualquiera pueda encontrarlo con una simple búsqueda y, lógicamente, abre la puerta a que te ataquen o usen tu teléfono para timos que pueden arruinarte.

WhatsApp: los datos privados

La plataforma de mensajería WhatsApp es conocida por sus altos niveles de seguridad, con encriptación de punto a punto en todas las comunicaciones. Sin embargo, según este informa parece que los datos personales no son tratados con el mismo celo en determinadas situaciones.

Los números de teléfono de los usuarios son expuestos mediante el dominio de WhatsApp “wa.me”, que es el encargado de almacenar los metadatos de las comunicaciones Click to Chat mediante el uso de un URL — por ejemplo,  https://wa.me/<Número de WhatsApp>). Como no hay ninguna medida de seguridad para prevenir que los motores de búsqueda registren y almacenen estos metadatos, el efecto final es que los números de teléfono se hacen públicos.

“Tu número de teléfono celular es visible como texto normal en este URL y cualquiera que tenga ese URL sabe tu número. No puedes revocarlo”, dice Jayaram. “Los números de teléfono individuales pueden ser filtrados y un atacante puede mandarte un mensaje, llamarte o vender tu número a televendedores y timadores”.

(Image credit: Future)

Buscando en este dominio usando la búsqueda de Google, Jayaram ha localizado ya más de 300.000 números de teléfono usados en WhatsApp, hechos públicos mediante este mecanismo. Y encima, aunque pulsando sobre ellos no puedes ver el nombre del usuario, sí puedes ver la imagen del perfil de tu WhatsApp. Algo que en muchas ocasiones es suficiente para identificar a una persona y organizar un ataque o un timo.

Jayaram descubrió el fallo el 23 de mayo y lo mandó inmediatamente al dueño de WhatsApp — Facebook — usando su mecanismo de recompensas para cualquiera que encuentre fallos de seguridad.

Sorprendentemente, Facebook rechazó su denuncia porque dice que los usuarios de WhatsApp saben que está compartiendo esta información en público (no sé vosotros, pero nosotros no teníamos ni idea). Según un portavoz de WhatsApp, “aunque [aprecian] el informe de este investigador y el tiempo que ha invertido en comunicárnoslo, no entra dentro del sistema de recompensas porque sólo contiene información que los usuarios de WhatsApp eligen compartir públicamente. Todos los usuarios de WhatsApp, incluyendo negocios, pueden bloquear mensajes no deseados con sólo pulsar un botón”. Sin embargo, esto no resuelve el hecho de que la información se puede utilizar para organizar timos: los números de teléfono se utilizan como forma de autenticación en muchas situaciones, por ejemplo.

Jayaram cree que la compañía se lo tiene que tomar mucho más en serio porque esto abre múltiples flancos de ataque a gente con malas intenciones: “hoy en día tu número de teléfono celular está unido a tu cartera Bitcoin, cuentas bancarias, tarjetas de crédito... [permitir] a un atacante hacer un cambio de SIM falsificado y clonado es otra posibilidad”.

Via Threatpost