Un serio inconveniente de seguridad afecta a los usuarios de WhatsApp y ni siquiera el popular cifrado de extremo a extremo puede proteger a los usuarios. Acorde a especialistas en gestión de la seguridad de la información, Google está indexando los números telefónicos vinculados a cuentas de WhatsApp a sus resultados de búsquedas, lo que podría ser aprovechado por actores de amenazas para atacar a usuarios específicos.
El investigador Athul Jayaram señaló el hallazgo del problema de seguridad en días recientes, mencionando que la exposición de información se relaciona con el dominio “wa.me”. Este dominio es propiedad de WhatsApp y permite alojar enlaces conocidos como ‘click to chat‘; estos enlaces permiten a los usuarios unirse a una conversación sin tener un número almacenado entre sus contactos.
Acorde al investigador en gestión de seguridad de la información, los dominios “wa.me” y “api.whatsapp.com” no cuentan con un archivo “robots.txt” para especificar que los motores de búsqueda no pueden rastrear los números de teléfono en el sitio web. Por ende, los enlaces que comienzan con “http://wa.me/” son indexados por Google y otros motores de búsqueda.
Al hacer clic en estos enlaces, el usuario es redirigido a una página “api.whatsapp.com”, para establecer contacto con otros usuarios en la plataforma de mensajería. “Los teléfonos están completamente expuestos, por lo que cualquier hacker malicioso puede realizar llamadas, enviar menajes o vender la información de los usuarios afectados a spammers, estafadores y data brokers“, afirma Jayaram.
Al realizar una prueba, los expertos en gestión de la seguridad de la información crearon un enlace falso (http://wa.me/11111), que los redirigió a api.whatsapp.com/send?phone=11111, como se muestra en la siguiente imagen. Este enlace mostraba la misma página, aunque los investigadores ni siquiera emplearon un número telefónico real.
En otras palabras, los actores de amenazas no pueden simplemente explotar esta función para extraer números legítimos de WhatsApp como si se ingresaran consultas convencionales a un navegador web. Facebook incluso rechazó el informe de Jayaram, al no considerar esta condición un bug de seguridad según su programa de recompensas: “Apreciamos el informe enviado por el investigador y valoramos su dedicación, pero no califica para una recompensa puesto que simplemente contiene un índice de URL de motor de búsqueda que los usuarios de WhatsApp han decidido hacer público”, argumenta la compañía. Esto no quiere decir que la compañía deba olvidar este inconveniente, pues muchos usuarios ignoran cómo funcionan estos enlaces y qué información se está compartiendo con todo Internet.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
