Un analista de seguridad holandés reveló una nueva vulnerabilidad de WhatsApp que permite explotar el método de conexión de su versión para computadores (WhatsApp Web) para obtener los datos de cualquier usuario, los que tras ser cruzados con Facebook a través de una simple búsqueda permiten la identificación total de una persona.

Loran Kloeze detalló el sistema en su blog, explicando que WhatsApp Web “se conecta con los servidores de WhatsApp usando tu teléfono. En resumen, el navegador le instruye al servidor que envíe de vuelta toda la información de un cierto número de teléfono”, incluyendo imagen de perfil, el mensaje de estado y si está conectado o no.

“Resulta que la información puede ser pedida para cualquier número. No es necesario que el número de teléfono sea añadido a tu lista de contactos. Como no hay restricción, es posible crear una completa base de datos de números de teléfono, fotos de perfil, textos de estado y estado de conexión”, escribió. “La base de datos puede ser configurada para poder construir una línea de tiempo de cada número de teléfono”, indicó, en relación a los momentos del día en que cada usuario se conecta.

El hecho de que cualquier usuario puede ver el estado de conexión o foto de perfil de un usuario no es nuevo, el sistema de WhatsApp funciona así hace años. Pero lo que plantea Kloeze es que usando un software se podría extraer una base con millones de números de teléfonos y sus datos. De hecho, creó tal herramienta, que funciona como una extensión de Chrome. Sólo hay que indicarle un número de teléfono inicial y uno final y el sistema entregará la información de todos los teléfonos entre ambos.

La situación se vuelve compleja si se complementan los datos con la base de usuarios de Facebook, según detalla el think tank digital chileno Tren Digital. El grupo detalla que, debido a la poca configuración de privacidad que tienen muchos usuarios, es muy probable que si se toma uno de los números obtenidos en la base extraída de WhatsApp Web y es usado para una búsqueda en Facebook, la red social entregue el nombre del dueño de ese teléfono y acceso a su perfil.

Cómo protegerse

La protección ante vulnerabilidad se centra, como es común, en la configuración de privacidad que tenga cada usuario. En el caso de WhatsApp, se debe ir a la sección Ajustes, luego a Cuenta y finalmente a Privacidad para elegir quién tiene acceso al historial de conexión, foto de perfil, información y estado. Es recomendable que esta información sólo sea entregada a los contactos que están almacenados en el teléfono.

En Facebook, Tren Digital recomienda cambiar los ajustes de privacidad para que sólo los contactos puedan hacer búsquedas en base al número de teléfono. Esto se puede determinar en la sección Configuración, luego en Privacidad y finalmente cambiar la respuesta a la pregunta “¿Quién puede buscarte con el número de teléfono que proporcionaste” a “Amigos” (las otras opciones son “todos” y “amigos de amigos”).

¿Qué dice WhatsApp sobre la vulnerabilidad? Kloeze contactó a Facebook (dueña de la app de mensajería) pero la compañía respondió que “vulnerabilidades de enumeración que demuestran que un número está vinculado a una cuenta de WhatsApp no son elegibles para el programa de reporte de fallas”, agregando que las configuraciones de privacidad permiten “esconder tu imagen de perfil, estado, última conexión o confirmación de lectura”.

Fuente: Emol