Cada cierto tiempo, WhatsApp se ve afectada por una vulnerabilidad en la app. Estas vulnerabilidades han llegado a permitir que cualquier persona con tu número de teléfono podía acceder a tus mensajes y fotos con sólo enviar un GIF o realizar una llamada a tu móvil. Ahora, un nuevo fallo de seguridad permite a cualquier persona conocer tu número de teléfono.
Así lo ha desvelado un investigador de India, que afirma que habría entre 29.000 y 300.000 números de teléfono filtrados en Google en texto plano. Aunque el investigador menciona Estados Unidos, Reino Unido o India como principales países afectados, también hay otros muchos afectados, entre los que se encuentra España.
Alessandro Zangrandi 🗸@alexzan__Do you remember when Whatsapp groups were available on the internet using the Google search? Well, now phone numbers are: https://t.co/lYC8ACV7oW07 de junio, 2020 • 16:27
9
2
850 números de WhatsApp en España, filtrados en Google
Si buscamos site:wa.me «+», aparecen unos 254.000 resultados con números de teléfono de todo el mundo. Y si filtramos con site:wa.me «+34», entonces encontramos 850 resultados de números de teléfono de España que se han filtrado. El investigador que lo ha descubierto dice que muchos números son de empresa, pero como podemos ver en los resultados, hay muchos de particulares; y algunos relacionados con contenido erótico, ya que en el enlace generado puede escribirse un mensaje.
Este bug es parecido al que ocurrió hace unos meses con los enlaces para entrar a grupos, los cuales aparecían también en Google. En este caso la culpable es la función de Click to Chat, que permite iniciar un chat de WhatsApp con otra persona sin tener que guardar su número de teléfono en los contactos. El fallo en ambos casos es no haber incluido en el “robots.txt” el “noindex” para que no fuese indexado por los buscadores. También, si se cifrasen los números de teléfono, no aparecían en el buscador.
Como saber si tu número se ha filtrado
Facebook eliminó hace un año la función de buscar usuarios a través de sus números de teléfono. Sin embargo, WhatsApp lanzó hace unos días una función que permitía añadir a amigos con sólo escanear un código QR. Quien haya utilizado esa función, ahora es probable que tenga su número de teléfono indexado en Google. Para buscarlo, tan sólo tienes que buscar tu número con site:wa.me + 34 000 00 00 00, donde tenemos que poner nuestro número donde aparecen los ceros, respetando los espacios.
Si tienes puesto tu perfil de WhatsApp como público, un atacante puede conocer tu foto de perfil, nombre y estado, además del número de teléfono. Así, pueden aprovecharlo para enviarte phishing a través de SMS. Además, si tenemos puesta la misma foto en WhatsApp que en otras redes sociales, un atacante puede obtener aún más información sobre nosotros, suponiendo una grave vulneración de nuestra privacidad en WhatsApp.
El investigador contactó con Facebook para que resolvieran la filtración de datos, pero la compañía afirma que la solución a este tipo de abusos sólo puede aplicarse en Facebook, y no en WhatsApp, ya que dicen que un usuario puede bloquear mensajes no deseados. Por tanto, contactar con WhatsApp no ha servido de nada porque no han pagado ninguna recompensa al investigador y no han aplicado ninguna solución. Esto demuestra que a la compañía no le importa la seguridad de sus usuarios a pesar de que el número de teléfono esté asociado a todo tipo de elementos personales, incluyendo cuentas bancarias, cuenta de Google y mucho más. Y tiene aún más gravedad el hecho de que la solución sea añadir una simple línea de código al robots.txt.
Actualización: después del revuelo mediático, WhatsApp ha solucionado el fallo y los enlaces ya no aparecen indexados.