Notebookcheck Logo

La débil seguridad de WhatsApp y Signal permite a los atacantes poco cualificados rastrear a los usuarios

Seguimiento de WhatsApp (imagen simbólica creada con difusión estable)
Seguimiento de WhatsApp (imagen simbólica creada con difusión estable)
Investigadores de la Universidad de Viena han descubierto vulnerabilidades en WhatsApp y Signal que permiten el rastreo indetectable de usuarios a través de mediciones del tiempo de ida y vuelta (RTT). Un sencillo programa disponible ahora en GitHub demuestra lo fácil que puede explotarse esta debilidad.
Security Science Software Hack / Data Breach Social Media

Un grupo de investigadores de la Universidad de Viena ha descubierto un pequeño pero grave agujero de seguridad en el funcionamiento de los servicios de mensajería cifrada de extremo a extremo (E2EE). El estudio, publicado inicialmente el 17 de noviembre de 2024, bajo el título "Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengers", destaca la posibilidad de rastrear dispositivos utilizando datos de tiempo de ida y vuelta (RTT) cuando WhatsApp o Signal están instalados.

Ahora se ha publicado en GitHub un programa que puede explotar automáticamente esta vulnerabilidad en WhatsApp. Aunque la puesta a disposición de una herramienta de este tipo plantea problemas éticos, su objetivo es presionar a WhatsApp para que solucione la brecha de seguridad y mejore la protección de la privacidad de los usuarios.

Resulta que la idea básica de ese programa es sorprendentemente sencilla. El rastreador envía mensajes de reacción a ID de mensajes inexistentes. El dispositivo de destino sigue respondiendo con un acuse de recibo. Esta reacción, invisible para el usuario, revela el tiempo necesario para enviar y recibir la solicitud manipulada: el RTT.

Aunque estos puntos de datos por sí solos no revelan una localización inmediata, pueden proporcionar información valiosa cuando se recopilan durante periodos prolongados. Los patrones dentro de los datos RTT pueden indicar cuándo un dispositivo está en uso activo o en modo de espera. También puede deducirse el tipo de conexión de red, como Wi-Fi o celular. Analizando estos patrones de actividad durante horas o días, los atacantes podrían sacar conclusiones sobre el comportamiento del usuario. Además, las constantes solicitudes consumen batería y datos móviles del smartphone afectado.

En la actualidad, los usuarios tienen pocas opciones para defenderse de este método de rastreo. No hay notificaciones en los smartphones que alerten a los usuarios de este seguimiento. No se puede obtener el número de teléfono del atacante, lo que hace imposible bloquearlo. Ni Signal ni WhatsApp ofrecen actualmente una opción para desactivar los recibos de entrega. Una solución drástica es la única opción en este momento. Elimine de su dispositivo todos los servicios de mensajería cifrada de extremo a extremo afectados.

Please share our article, every link counts!
Mail Logo
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2025 12 > La débil seguridad de WhatsApp y Signal permite a los atacantes poco cualificados rastrear a los usuarios
Marc Herter, 2025-12-11 (Update: 2025-12-11)