Una grave vulneración, pero con un exploit caratulado de simple, afectó a WhatsApp, en un incidente que además había sido avisado años antes a Meta por parte de investigadores (más específicamente la advertencia saltó en 2017).
Este exploit «simple» puede extraer un total de 3.500 millones de números de teléfono del servicio de mensajería. Los investigadores afirman que si el mismo exploit hubiera sido utilizado por actores malintencionados, el resultado habría sido «la mayor filtración de datos de la historia.»
El aspecto más flagrante del fallo en la privacidad es que otro investigador de seguridad alertó a Meta sobre el problema hace más de ocho años, y en todo ese tiempo la empresa no implementó la medida de protección increíblemente sencilla necesaria para solucionarlo.
La gente de Wired que destapó el problema, se refirió a lo que sucedió:
La adopción masiva de WhatsApp se debe en parte a lo fácil que es encontrar un nuevo contacto en la plataforma de mensajería: si añades el número de teléfono de alguien, WhatsApp muestra instantáneamente si está en el servicio, y a menudo también su foto de perfil y su nombre.
Resulta que repites ese mismo truco miles de millones de veces con todos los números de teléfono posibles, y la misma función también puede servir como una forma cómoda de obtener el número de móvil de prácticamente todos los usuarios de WhatsApp en el mundo, junto con, en muchos casos, fotos de perfil y texto que identifica a cada uno de esos usuarios.
Un investigador de seguridad en 2017 descubrió que la empresa no ofrece límite en el número de comprobaciones de números de teléfono que puedes realizar, lo que permite este tipo de ataque. Increíblemente, ocho años después, un grupo de investigadores austriacos de la Universidad de Viena logró explotar exactamente la misma falla para obtener el número de teléfono de casi todos los usuarios de WhatsApp.
«Hasta donde sabemos, esta es la exposición más extensa de números de teléfono y datos de usuarios relacionados jamás documentada», dice Aljosha Judmayer, uno de los investigadores de la Universidad de Viena que trabajó en el estudio.
Por supuesto, los investigadores actuaron con responsabilidad eliminando la base de datos de números de teléfono y alertando a Meta. La empresa tardó unos seis meses más en implementar una medida limitadora de velocidad para evitar que la función se explotara a esta escala masiva.
