Vulnerabilidad de seguridad descubierta en WhatsApp

 (univie.ac.at)
1 puntos por GN⁺ 2025-11-22 | 1 comentarios | Compartir por WhatsApp
  • Investigadores de la Universidad de Viena y SBA Research descubrieron una vulnerabilidad masiva de privacidad en el mecanismo de búsqueda de contactos de WhatsApp que permitía enumerar 3.500 millones de cuentas
  • El equipo demostró que era posible consultar más de 100 millones de números de teléfono por hora, y Meta colaboró con los investigadores para corregir el problema
  • Los datos que podían recopilarse incluían números de teléfono, claves públicas, marcas de tiempo e información de perfil configurada como pública, lo que permitía inferir el sistema operativo, la antigüedad de la cuenta y la cantidad de dispositivos vinculados
  • El análisis mostró que incluso en países donde WhatsApp está prohibido (China, Irán, Myanmar, entre otros) existían millones de cuentas activas, y se confirmó una distribución global de 81% Android y 19% iOS
  • Esta investigación muestra que el análisis de metadatos por sí solo también puede implicar riesgos de exposición de datos personales y subraya la importancia de una investigación de seguridad continua e independiente

Descubren una vulnerabilidad en la búsqueda de contactos de WhatsApp

  • Los investigadores confirmaron que la función de búsqueda de contactos (contact discovery) de WhatsApp, que encuentra a otros usuarios a partir de la libreta de direcciones del usuario, permitía consultar más de 100 millones de números de teléfono por hora
    • Con ello, lograron identificar más de 3.500 millones de cuentas activas en 245 países
    • Se considera que procesar tal volumen de solicitudes desde una sola fuente dejó en evidencia una falla en el diseño del sistema
  • Entre los datos accesibles se encontraban números de teléfono, claves públicas, marcas de tiempo, fotos de perfil públicas y textos de presentación, a partir de los cuales era posible inferir el tipo de sistema operativo, el momento de creación de la cuenta y la cantidad de dispositivos conectados

Principales hallazgos del estudio

  • Incluso en países donde WhatsApp está oficialmente prohibido (China, Irán, Myanmar) existían millones de cuentas activas
  • La proporción global de dispositivos fue de 81% Android y 19% iOS, y se observaron diferencias en los patrones regionales de exposición de información personal (por ejemplo, si se hace pública la foto de perfil o si se usa texto de presentación)
  • En algunos casos se detectó reutilización de claves criptográficas, lo que sugiere el posible uso de clientes no oficiales o actividades fraudulentas
  • De los 500 millones de números de teléfono incluidos en la filtración de datos de Facebook de 2021, aproximadamente la mitad seguía activa en WhatsApp
    • Esto implica que los números filtrados siguen expuestos al riesgo de daños secundarios, como llamadas fraudulentas

Tratamiento de datos e impacto en la seguridad

  • Durante la investigación no se accedió al contenido de los mensajes, y todos los datos recopilados fueron eliminados antes de su publicación
  • El cifrado de extremo a extremo (end-to-end encryption) de WhatsApp protege el contenido de los mensajes, pero los metadatos no están cubiertos por esa protección
  • Los investigadores confirmaron que la recopilación y el análisis masivos de metadatos por sí solos pueden generar riesgos de violación de la privacidad

Colaboración con Meta y medidas de respuesta

  • La investigación se realizó conforme al principio de divulgación responsable (responsible disclosure), y los resultados se reportaron de inmediato a Meta
  • Posteriormente, Meta implementó medidas como limitación de solicitudes (rate-limiting) y mayor protección en el acceso a la información de perfil
  • Meta agradeció la colaboración de los investigadores y reconoció que la nueva técnica de enumeración (enumeration) superó los límites de sus defensas existentes
    • Los resultados también contribuyeron a verificar la eficacia de sus sistemas anti-scraping
    • No se detectaron casos de abuso malicioso, y los mensajes de los usuarios permanecieron protegidos

Contexto del estudio e investigaciones relacionadas

  • Este artículo es el tercer estudio de seguridad en mensajería realizado por la Universidad de Viena y SBA Research, y analiza las posibles exposiciones de privacidad en el diseño y la implementación de WhatsApp y Signal
  • Estudios anteriores:
    • “Careless Whisper” (RAID 2025): demostró que era posible inferir patrones de actividad de los usuarios mediante los silent delivery receipts de WhatsApp
    • “Prekey Pogo” (USENIX WOOT 2025): analizó debilidades de implementación en el mecanismo de distribución de prekeys de WhatsApp
  • Este nuevo estudio, “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, amplía esa línea de investigación y demuestra empíricamente la posibilidad de enumerar usuarios a escala global
    • Los resultados se presentarán en la conferencia NDSS 2026

Importancia del estudio

  • Los investigadores señalan que incluso los sistemas maduros pueden tener fallas de diseño y subrayan que la seguridad y la privacidad requieren una reevaluación continua
  • También plantean que la colaboración transparente entre la academia y la industria es clave para proteger a los usuarios y prevenir abusos
  • Este estudio sienta una base para comprender a largo plazo la evolución de los sistemas de mensajería y los nuevos puntos de riesgo

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-22
Opiniones de Hacker News
  • Justo llega en un momento muy oportuno. Nosotros publicamos recientemente un RFC sobre el método de coincidencia de contactos. Este método es resistente a ataques de enumeración, pero a cambio reduce la capacidad de descubrimiento. Estamos recibiendo comentarios ahora mismo, por si les sirve — Contact Import RFC
    • Yo también estuve viendo Private Set Intersection al tratar un problema parecido (enlace a Wikipedia). Está relacionado con Zero Knowledge Proofs y puede bloquear este tipo de ataques desde la raíz al no compartir números de teléfono en texto plano. Aun así, este enfoque podría ser excesivo y con la tecnología actual quizá tenga límites de escalabilidad
    • El RFC habla de seguridad, pero no menciona la privacidad. Al final sigue siendo una estructura en la que hay que confiar en el servidor o en la instancia. Sería bueno usar hashes en lugar de números reales, pero entonces ya no se podría verificar el número y sería más difícil evitar el spoofing. Tal vez podría funcionar un modelo donde un tercero de confianza como la EFF o Let’s Encrypt verifique los números y la app solo obtenga el hash
    • Qué bueno que saquen este tema en este momento. Mi app también va a agregar sincronización de contactos pronto, así que estoy pensando en seguridad y privacidad. Me pregunto si tienen planes de publicar este RFC como código abierto
  • La parte citada en el artículo me pareció interesante. Decía que, de los 500 millones de números de teléfono expuestos en la filtración de datos de Facebook de 2021, la mitad seguía activa en WhatsApp. Eso muestra que los números filtrados pueden quedar expuestos a llamadas spam o fraudes durante años. Parece que la “vida media” de un número de teléfono es de unos 4 o 5 años
    • Me sorprende que en EE. UU. tanta gente siga usando de adulta el mismo número que recibió de niña. Yo antes cambiaba de número cada año
  • Esta vulnerabilidad se debía a un endpoint que permitía verificar si un número de teléfono específico estaba vinculado a una cuenta de WhatsApp. Se podía consultar casi cualquier número, pero no me parece una vulnerabilidad tan grave
    • Aun así, me pregunto por qué permiten comprobar la existencia de una cuenta usando un número de teléfono. Si esto se hiciera con direcciones de correo electrónico se consideraría una violación de privacidad; no entiendo por qué con números de teléfono sería diferente
    • Últimamente he recibido muchos SMS de phishing con nombres como “WatApp” o “whtas app”. Parece que filtraciones como esta aumentan la eficacia de esos ataques. Además, como son mensajes enviados sin número visible, es difícil bloquearlos
    • En realidad, para alguien como yo esto sí es una función conveniente. Si encuentro en internet el número de un plomero, lo ingreso en WhatsApp y, si tiene perfil, le escribo ahí mismo; si no, lo llamo o le mando SMS
  • Esto no fue tanto una gran filtración, sino que los usuarios tenían perfiles públicos que podían encontrarse por número. Los investigadores solo consultaron números aleatorios y recopilaron información pública; no eran datos privados. Facebook no puso rate limits, así que se pudo recolectar a gran escala, pero de todos modos era información pública. Si alguien subió información sensible a su perfil público, eso fue decisión del usuario
  • Esta es una de las cosas más lamentables. La humanidad tuvo la oportunidad de tener el mensajero personal más popular, pero en 2014 los 19 mil millones de dólares cegaron a Brian Acton. Lo que hace ahora en Signal no puede deshacer el precio de haber vendido la confianza de miles de millones de usuarios
    • La UE debió haber bloqueado ese acuerdo. No tenía sentido que una empresa sin modelo de ingresos valiera 19 mil millones de dólares; lo que Facebook quería eran los datos de los usuarios. En vez de eso, se conformaron con cosas como imponer USB-C, lo cual resulta bastante decepcionante
  • Esto es simplemente un problema de enumeración de números telefónicos. No es un fallo de código, sino una función explícita, así que cuesta llamarlo “vulnerabilidad de seguridad”
    • Pero un endpoint sensible sin ningún rate limiting sí puede verse como un fallo
    • Incluso poder comprobar la existencia de una cuenta con un solo número ya es una violación de privacidad. Si el servicio fuera algo inapropiado o sensible, descubrir si alguien está registrado usando solo su número sería un problema grave. El riesgo está en que esto también se puede automatizar para hacer perfilado
    • Que se pudiera llegar a algo como 100 millones de solicitudes por segundo sí está en un nivel completamente absurdo
  • Esta mañana noté de repente que WhatsApp me había cerrado la sesión. Intenté volver a entrar, pero no llegó el SMS de verificación; por suerte pude recibir el código de recuperación con la opción de “recibir llamada”. Pero como no había configurado un PIN de 2FA, la recuperación quedó bloqueada, y tampoco tenía configurada la recuperación por correo electrónico. Ahora estoy en espera de 7 días. Me parece extraño no poder recuperar la cuenta aunque el número sigue siendo mío. Recomiendo muchísimo a todo el mundo configurar 2FA y un correo de recuperación
    • Si una cuenta pudiera recuperarse solo con el número de teléfono, en realidad sería un riesgo de seguridad. Si el número se reasigna, la nueva persona podría heredar las conversaciones y contactos del usuario anterior
  • Esto se parece al artículo sobre búsqueda de contactos en WhatsApp, Telegram y Signal publicado en 2020 (enlace). Al final, lo único que impide enumerar todo el conjunto de números telefónicos es el rate limit del lado del servidor. Me pregunto si las restricciones de cada mensajero son suficientes
  • Participé en una investigación de este tipo hace tiempo. La lista de prefijos de telefonía móvil por país fue muy útil. Eso sí, no pude encontrar el enlace a libphonegen que se mencionaba como referencia
  • El punto clave es el riesgo de centralización en los servicios de mensajería. En realidad, la centralización es un problema en cualquier ámbito, pero la gente sigue queriendo comodidad e integración. Implementar eso en un sistema distribuido es realmente difícil
    • A veces pienso en cómo habría sido si todo hubiera arrancado como el correo electrónico, con un enfoque abierto. Si en los 90 la gente hubiera preguntado “¿cuál es tu clave pública?” en vez de “¿cuál es tu correo?”, tal vez hoy viviríamos en una utopía digital
    • SimpleX Chat parece un caso que combina bastante bien seguridad y descentralización
    • Sinceramente, en capacidad técnica me inspira más confianza Meta que los gobiernos. Los proyectos digitales de los gobiernos fracasan mucho, y aunque uno critique a FAANG, es difícil que otros logren mejores resultados
    • Acabo de leer el hilo sobre Matrix que subieron a la portada de HN y era una discusión en la misma línea