WhatsApp: Los investigadores crean una agenda telefónica con los 3.500 millones de usuarios

Investigadores de seguridad de la Universidad de Viena y de SBA Research han ofrecido una inquietante demostración de las posibilidades de recopilación de datos en WhatsApp. El equipo consiguió desenmascarar a los 3.500 millones de usuarios que utilizan la función de descubrimiento de contactos del mensajero. En realidad, esta función está pensada para comprobar los contactos de la propia libreta de direcciones.

Los investigadores explotaron una vulnerabilidad de seguridad masiva, que ya ha sido cerrada. Descubrieron que la interfaz no tenía suficientes límites de velocidad para las consultas. En teoría, esto les permitía consultar 100 millones de números de teléfono por hora. Simplemente se examinaron rangos completos de números de teléfono. El estudio se publicó finalmente en Githuby los científicos presentarán más resultados y análisis detallados en el Simposio sobre Seguridad de Redes y Sistemas Distribuidos (NDSS), que tendrá lugar en San Diego del 23 al 27 de febrero de 2026.

Este estudio arrojó una enorme base de datos de aproximadamente 3.500 millones de cuentas activas de WhatsApp en todo el mundo. La API (interfaz de programación de aplicaciones) de WhatsApp proporcionaba metadatos de acceso público en cuanto se identificaba un número como registrado. Esto incluía fotos de perfil, actualizaciones de estado e información sobre cuándo se había conectado un usuario por última vez. También podían obtenerse detalles técnicos, como la distribución de los sistemas operativos. Por ejemplo, los datos muestran que alrededor del 81% de los usuarios de todo el mundo utilizan Android, mientras que iOS representa alrededor del 19%.

Los investigadores también compararon estos datos con la filtración masiva de datos de Facebook de 2021. el 58% de los números filtrados en aquel momento siguen activos hoy en día. Esto ilustra lo valiosos que pueden seguir siendo estos conjuntos de datos masivos, incluso años después. Incluso en países con una estricta censura de Internet y bloqueos de WhatsApp, se identificaron millones de usuarios activos. se identificaron 2.333.519 cuentas con números de teléfono chinos. Incluso en Corea del Norte, al menos cinco números de teléfono estaban vinculados a una cuenta de WhatsApp.

Meta fue informada de la vulnerabilidad y desde entonces ha respondido aplicando estrictos límites de velocidad, por lo que las consultas masivas a esta velocidad ya no deberían ser posibles. Aunque la empresa declaró que no hay pruebas de explotación de la vulnerabilidad por parte de terceros, una revisión completa de tales intentos en el pasado es técnicamente casi imposible. El método en sí es conocido en los círculos de seguridad, por lo que su uso previo y no detectado por otros actores es al menos una posibilidad.

Además, un detalle técnico permite comprender mejor el oscuro mundo de WhatsApp. En condiciones normales de funcionamiento, cada instalación de la app genera un par de claves criptográficas único, que constituye la base del cifrado de extremo a extremo y garantiza la identidad del dispositivo. Sin embargo, los investigadores descubrieron grupos de números de teléfono que utilizaban la misma clave pública, algo que debería ser técnicamente imposible cuando se utiliza la app oficial en dispositivos físicos. Esta reutilización de claves sugiere claramente el uso de software no oficial. Este tipo de herramientas se utilizan con frecuencia en "granjas de clics" o para bots de marketing, donde los operadores copian identidades de seguridad idénticas en muchas cuentas diferentes, ya sea por razones de eficiencia o debido a una implementación defectuosa. Esto no sólo pone al descubierto cuentas falsas, sino que también demuestra que estos clientes no oficiales pueden socavar masivamente la arquitectura de seguridad del mensajero.