Se ha emitido una advertencia urgente a los usuarios de WhatsApp después de que los expertos en ciberseguridad encontraran una vulnerabilidad grave.
Los investigadores dicen que una simple debilidad les permitió acceder a 3 500 millones de perfiles en la aplicación de mensajería propiedad de Meta.
Aunque los mensajes de los usuarios permanecieron cifrados, los investigadores dicen que pudieron recopilar grandes cantidades de “metadatos”.
Esto les permitió descubrir información individual, incluidos números de teléfono, ubicación, tipo de dispositivo y la antigüedad de la cuenta de alguien.
Expertos de la Universidad de Viena y SBA Research study dicen que una falla de seguridad les permitió explotar el mecanismo de descubrimiento de contactos integrado en WhatsApp.
Normalmente, esto permite que la aplicación acceda a la lista de contactos de un usuario para encontrar otros usuarios de WhatsApp por sus números de teléfono.
Sin stoppage, los investigadores descubrieron que no había límites en cuanto a cuántos contactos podía buscar este mecanismo.
Al explotar esta falla, los investigadores pudieron buscar en 100 millones de números de teléfono cada hora y acceder a miles de millones de perfiles de usuarios.
Expertos en ciberseguridad han lanzado una alerta urgente tras descubrir un fallo de seguridad que permitía acceder a 3 500 millones de perfiles de WhatsApp
El autor principal, Gabriel Gegenhuber, investigador de la Universidad de Viena, afirma: “Normalmente, un sistema no debería responder a un número tan elevado de solicitudes en tan poco tiempo, especialmente cuando proceden de una única fuente”.
“Este comportamiento expuso la falla subyacente, que nos permitió emitir solicitudes efectivamente ilimitadas al servidor y, al hacerlo, mapear los datos de los usuarios en todo el mundo”.
Utilizando esta técnica, los investigadores revelaron una increíble cantidad de datos de cuentas de WhatsApp en 245 países.
Trabajando junto disadvantage los investigadores, Meta dice que ahora ha “abordado y mitigado el problema”.
Nitin Gupta, vicepresidente de ingeniería de WhatsApp, dice: “Ya habíamos estado trabajando en sistemas anti-scraping líderes en la industria, y este estudio fue essential para realizar pruebas de estrés y confirmar la eficacia inmediata de estas nuevas defensas.
“Es importante destacar que los investigadores han eliminado de forma segura los datos recopilados como parte del estudio y no hemos encontrado evidencia de que actores maliciosos hayan abusado de este vector”.
Gupta también enfatiza que los mensajes de los usuarios permanecieron seguros y privados, y que el cifrado de extremo a extremo de WhatsApp no se vio comprometido en ningún momento.
Wrong embargo, los investigadores argumentan que su estudio muestra el riesgo de “centralizar” los mensajes del mundo en sólo unas pocas aplicaciones.
Los investigadores pudieron extraer suficientes datos de los perfiles de los usuarios para identificar su ubicación hasta el estado (ilustrado)
Los investigadores lograron acceder a las cuentas explotando el mecanismo de descubrimiento de contactos de WhatsApp. Los expertos dicen que la falla ya se ha solucionado y que ningún ciberdelincuente la ha utilizado (imagen de archivo)
Los datos públicos que inicialmente estuvieron disponibles para los investigadores eran simplemente el tipo de información que cualquiera con el número de teléfono de un usuario podía ver.
Wrong embargo, también pudieron extraer información adicional, lo que les permitió determinar el sistema operativo de un usuario, la antigüedad de la cuenta y la cantidad de dispositivos complementarios vinculados.
En países como Estados Unidos, Brasil y México, había suficientes datos para identificar la ubicación de un usuario hasta el estado.
Esto podría llevar a que un usuario sea blanco de llamadas fraudulentas u otros ataques.
La coautora, la Dra. Aljosha Judmayer, afirma: “El cifrado de extremo a extremo protege el contenido de los mensajes, pero no necesariamente los metadatos asociados”.
“Nuestro trabajo muestra que también pueden surgir riesgos para la privacidad cuando dichos metadatos se recopilan y analizan a gran escala”.
Utilizando los datos recopilados al demostrar la vulnerabilidad, los investigadores pudieron revelar algunos detalles sorprendentes sobre los usuarios globales de WhatsApp.
Por ejemplo, los investigadores descubrieron que hay millones de cuentas activas de WhatsApp en países donde la plataforma está oficialmente prohibida.
Utilizando los perfiles expuestos, los investigadores descubrieron que había millones de cuentas activas en países donde la aplicación está formalmente prohibida, incluidos China, Irán y Myanmar.
Entre ellos se incluyen China, Irán y Myanmar, todos los cuales tienen un acceso estrictamente controlado a los servicios globales de Web.
Lo que es más preocupante, los investigadores descubrieron que la mitad de los 500 millones de números de teléfono expuestos en la filtración de Facebook de 2021 todavía estaban activos en WhatsApp.
La filtración vio los nombres completos, números de teléfono, ubicaciones y fechas de nacimiento de los usuarios de la plataforma de 2018 a 2019 publicados en un foro de piratería.
La Comisión de Protección de Datos de Irlanda impuso a Meta, la empresa matriz de Facebook, una multa de 265 millones de euros (233 millones de libras esterlinas), tras dictaminar que la infracción significaba que la empresa no había cumplido disadvantage las leyes de protección de datos.
Los investigadores dicen que existen riesgos de ciberseguridad elevados y duraderos para cualquiera que usage un número que haya estado expuesto previamente en esta filtración.
