WhatsApp ha generado muchos titulares positivos recientemente, con actualizaciones muy esperadas para expandir las videollamadas, agregar cifrado de copia de seguridad en la nube y detalles de contacto del código QR e introducir acceso a múltiples móviles. Pero no todas son buenas noticias. En los últimos titulares advierten a los usuarios que pueden estar en riesgo por un nuevo problema de seguridad en WhatsApp.
Esta nueva advertencia para el usuario es una lección sobre las consecuencias no deseadas. Y es que hay nuevas afirmaciones de que los datos del usuario se están filtrando en línea. Esto será una sorpresa para los afectados, pero no es la primera vez que la gran base de usuarios de WhatsApp ha sido advertida de este tipo de problema. Sirve como un recordatorio oportuno para comprender los riesgos antes de sumergirse en nuevas características.
Según un nuevo informe de seguridad, los números de los usuarios se pueden encontrar en Google y las imágenes de perfil se realizan búsquedas inversas en otros sitios de redes sociales. Este es un problema de privacidad, pero en el fondo también hay una nueva herramienta web de WhatsApp fácil de usar que presenta algunos problemas de seguridad que deben abordarse.
WhatsApp ha negado que el problema sea realmente un problema, y dice que su tecnología simplemente funciona según lo planeado. Dicho esto, una búsqueda en Google que devuelve miles de números no es una buena óptica cuando se trata de una plataforma de mensajería segura utilizada por miles de millones. Y ese es el problema aquí.
Es posible que recuerda los titulares de tecnología en febrero, cuando se reveló que una gran cantidad de grupos de WhatsApp se habían indexado en línea. ¿Y lo peor de todo? Se podían descubrir mediante una simple búsqueda en Google. Como Kate O’Flaherty, de Forbes, en ese momento, el problema pronto se solucionó en Google, lo que implica alguna intervención de WhatsApp.
Ahora tenemos más de lo mismo
Esta vez, el problema son los números de teléfono, no los nombres de grupos. Pero una vez más, Google está proporcionando un escaparate inadvertido a los estafadores que buscan acumular datos genuinos de los usuarios. Si desea ver el problema por sí mismo, escribe lo siguiente en Google: sitio: http://wa.me. Posteriormente verás una lista de miles de números de teléfono de usuarios reales, junto con una invitación para «enviarles un mensaje».
Google this – site:https://t.co/lQejnYDjvs "+91"
You will end up with thousands of @WhatsApp Numbers that I guess shouldn't be publicly available. Wonder if @Whatsapp will fix this or its kept like this on purpose?
Fun Fact, this works for almost every country. 🤯 pic.twitter.com/g8MtotmxW5
— Amit Bhawani 🇮🇳 (@amitbhawani) June 7, 2020
Entonces, ¿qué está pasando? Bueno, el investigador indio Athul Jayaram descubrió que estos números se podían buscar «para casi todos los países». También descubrió que los datos son «accesibles en la web abierta y no en la web oscura». El problema surge de la función «hacer clic para chatear» de WhatsApp. Esta permite a los usuarios crear enlaces para que otros usuarios puedan enviarles mensajes o llamarlos sin agregar los números a sus libretas de direcciones.
Como explica WhatsApp, «siempre que conozca el número de teléfono de esta persona y tenga una cuenta activa de WhatsApp, puede crear un enlace que le permita iniciar una conversación con ellos. Al hacer clic en el enlace, se abre automáticamente un chat con la persona. Hacer clic para chatear funciona tanto en su teléfono como en WhatsApp Web». Completar el enlace con un número inventado devolvió una invitación para chatear.
Eso en sí mismo no crea el problema. Pero luego, esos usuarios publican una URL con sus números como parte de este enlace de WhatsApp. Luego los codiciosos rastreadores de Google recopilan los datos y se los proporcionan a cualquiera que lo solicite. En masa
Como me dijo WhatsApp, «nuestra función Click to Chat, que permite a los usuarios crear una URL con su número de teléfono para que cualquiera pueda enviarles mensajes fácilmente, es utilizada ampliamente por pequeñas y microempresas de todo el mundo para conectarse con sus clientes. Si bien apreciamos el informe de este investigador … simplemente contenía un índice de URL de motores de búsqueda que los usuarios de WhatsApp eligieron para hacer público. Todos los usuarios de WhatsApp, incluidas las empresas, pueden bloquear mensajes no deseados con solo tocar un botón».
WhatsApp proporciona instrucciones sobre cómo crear su propio enlace e incluso hacerlo con un mensaje precargado. Jayaram sugiere que estos números brindan una oportunidad para que los estafadores o hackers apunten a esos usuarios, ya sea en WhatsApp o mediante la búsqueda inversa de sus imágenes de perfil para vincular esos números de teléfono a otros sitios de redes sociales usando las mismas imágenes de perfil. En 2018, Facebook finalizó su búsqueda por herramienta de número de teléfono por razones de privacidad y seguridad.
Si bien un número fabricado creará un enlace, hacer clic en WhatsApp obviamente provocará un error de que no es válido en WhatsApp. Esto significa que cualquier número que abra un chat de WhatsApp se valida, como sería el mismo si usa la aplicación, solo que más rápido. Esto puede proporcionar una ruta más fácil para escribir una herramienta para verificar identidades válidas. Es probable que haya verificaciones en WhatsApp para rastrear grandes volúmenes de consultas desde direcciones IP o cuentas particulares, aunque eso no está confirmado.
Idealmente, estos datos no serían tan fáciles de recopilar utilizando un motor de búsqueda. También utilicé la herramienta para validar un número que no se podía buscar ni dentro de mi libreta de direcciones. Esto devolvió una invitación al mensaje y un perfil de usuario y una imagen. Una alternativa más fácil a ingresar un número fabricado en mi aplicación.
WhatsApp está a la vanguardia de la mensajería segura y las consecuencias no deseadas de esta característica han levantado una bandera. Llega al corazón del equilibrio entre la facilidad de uso y la seguridad de extremo a extremo. La intención detrás de esta herramienta es que las empresas u otros usuarios de cara al público creen enlaces fácilmente, se debe advertir a esos usuarios que esto puede hacer que esos números aparezcan en los resultados de búsqueda. Al igual que con el tema de los grupos de febrero, uno probablemente puede esperar que este capricho se arregle bastante pronto.
Mientras tanto, si no deseas encontrar tu número de teléfono indexado en Google, no crees un enlace, haz clic para chatear y publícalo en línea.
:)