WhatsApp es enorme, y su crecimiento se debe en parte a lo fácil que es encontrar personas que usan el servicio: todo lo que necesitas es su número de teléfono. Desafortunadamente, esto también significa que el número de teléfono de cada usuario de WhatsApp era, hasta hace muy poco, fácilmente obtenible por cualquiera, incluido cualquier grupo de hackers malintencionados.
Esto ha sido revelado por investigadores austriacos, quienes pudieron extraer los números de teléfono de los 3.500 millones de usuarios de WhatsApp. Y para alrededor del 57% de esos 3.500 millones de usuarios, los investigadores también pudieron acceder a sus fotos de perfil, y para otro 29%, al texto de sus perfiles.
Si te preguntas qué truco de hackeo de sombrero negro tuvieron que usar, bueno, ninguno. Básicamente, lo único que hicieron fue intentar agregar miles de millones de números, de la misma manera que lo harías tú. Agregas un número y luego WhatsApp te dice si la persona que usa ese número tiene una cuenta o no, y te muestra su foto de perfil y el texto de su cuenta.
Eso es todo, eso es lo que hicieron estos investigadores, solo que a gran escala, usando WhatsApp Web, la interfaz basada en navegador del servicio. Pudieron comprobar alrededor de 100 millones de números de teléfono por hora a principios de este año, ya que, a pesar de que Meta, la empresa matriz de WhatsApp, había sido advertida sobre este problema en 2017 por otro investigador, no hizo nada al respecto.
Afortunadamente, los investigadores austriacos le notificaron en abril sobre el problema y, para octubre, la empresa implementó la limitación de velocidad para evitar el descubrimiento masivo de contactos. Pero, por supuesto, esto no se implementó durante muchos, muchos años, durante los cuales todo tipo de actor malintencionado podría haber explotado el sistema
Por su parte, Meta recalcó que todos estos datos son «información básica disponible públicamente» y que las fotos de perfil y el texto no se expusieron para los usuarios que optaron por hacerlos privados. La empresa también asegura a todos que «no encontró evidencia de que actores maliciosos abusaran de este vector» y que «los investigadores no tuvieron acceso a datos no públicos».
