WhatsApp: una fallada va permetre extreure 3.500 milions de números i dades de perfil

Una investigació acadèmica ha posat sota els focus un fallada de seguretat al sistema de descobriment de contactes de WhatsApp que, explotat a gran escala, va permetre verificar números de telèfon i associar-los dades de perfil de forma massiva. La troballa descriu com un procés rutinari de l'app es pot convertir, si es repeteix a ritme industrial, una font d'exposició d'informació.

L'estudi, liderat per un equip de la Universitat de Viena, va demostrar que era possible consultar l'existència de comptes per milers de milions de combinacions de números a través de la versió web, sense bloquejos efectius durant mesos. Segons els autors, si aquest procés no s'hagués efectuat de manera responsable, estaríem parlant de una de les exposicions de dades més grans mai documentades.

Com es va materialitzar la bretxa: l'enumeració massiva

El problema no va tenir a veure trencant el xifratge, sinó amb una debilitat conceptual: la eina de cerca de contactes del servei. WhatsApp permet consultar si un telèfon està registrat; repetir aquesta comprovació de forma automatitzada ia gran escala va obrir la porta a un rastreig global.

Els investigadors austríacs van aprofitar la interfície web per provar números de manera continuada, aconseguint un ritme aproximat de 100 milions de verificacions per hora sense que hi hagués límits efectius de velocitat durant el període analitzat. Aquest volum va fer possible una extracció inèdita.

El resultat de l'experiment va ser contundent: van poder obtenir els números de telèfon de 3.500 milions de comptes de WhatsApp. A més, van aconseguir associar dades de perfil disponibles públicament per a una part important d'aquesta mostra.

Concretament, l'equip va assenyalar que es va accedir a fotos de perfil al 57% dels casos ia textos públics d'estat o informació addicional al 29%. Tot i que aquests camps depenen de la configuració de cada usuari, la seva exposició a escala amplifica el risc.

• 3.500 milions de números verificats com a registrats a WhatsApp.
• 57% amb foto de perfil accessible públicament.
• 29% amb text de perfil consultable.

Advertiments previs que no es van atendre a temps

La feblesa d'enumeració no era completament nova: ja en 2017, l'investigador holandès Loran Kloeze va advertir que era possible automatitzar la comprovació de números i associar-los dades visibles. Aquella alerta anticipava la situació actual.

El treball recent de Viena va portar aquesta idea a l'extrem i va evidenciar que la dependència del número de telèfon com a identificador únic segueix sent problemàtica. Com remarquen els autors, els números no estan dissenyats per actuar com a credencials secretes, però a la pràctica compleixen aquest paper en molts serveis.

Una altra conclusió rellevant de l'estudi és que gran part de la informació personal manté el valor amb el temps: l'equip va trobar que el 58% dels telèfons exposats a la filtració de Facebook de 2021 segueixen actius avui a WhatsApp, cosa que facilita correlacions i campanyes persistents.

A més dels números, el procés de consulta massiva va permetre inferir certes metadades tècniques, com el tipus de client o sistema operatiu empleat i la presència de versions descriptori, la qual cosa afegeix superfície per a lelaboració de perfils.

Resposta de Meta: límits de velocitat i postura oficial

Els Investigadors van comunicar la troballa a Meta a l'abril i van eliminar la base de dades generada després de validar-la. La companyia, per la seva banda, va implementar a l'octubre mesures de rate limiting més estrictes per bloquejar l'enumeració a gran escala a través del web.

En declaracions remeses a mitjans especialitzats, Meta va agrair l'avís a través del seu programa de recompenses per fallades i va subratllar que la informació exposada era la que cada usuari havia configurat com a visible. També va assegurar que no havia trobat proves d'abús maliciós d'aquest vector.

L'empresa va insistir que els missatges van romandre protegits pel xifratge d'extrem a extrem i que no es va accedir a dades no públiques. No hi va haver indicis que s'hagués trencat el sistema criptogràfic.

Després de diverses reunions tècniques, WhatsApp va recompensar la investigació amb 17.500 dòlars. Per a l'equip, el procés va servir per mesurar i posar a prova l'eficàcia de les noves defenses desplegades després de la notificació.

Riscos reals: del frau a l'assenyalament a països amb prohibicions

Més enllà del pla tècnic, el principal impacte daquesta exposició és pràctic. Amb un número de telèfon i dades de perfil visibles, resulta més senzill construir campanyes denginyeria social i estafes dirigides que aprofitin la informació contextual de cada víctima.

Els investigadors també van identificar milions de comptes actius en territoris on WhatsApp està prohibit, com Xina, Iran o Myanmar. La visibilitat d'aquests números podria comportar conseqüències personals o legals per a usuaris en contextos d'alta vigilància.

La disponibilitat massiva de telèfons vàlids potencia el spam, el doxxing i el phishing amb un nivell de precisió més gran, especialment quan la foto de perfil o el text públic aporten pistes sobre identitat, ocupació o xarxes socials vinculades.

Convé recordar que, un cop agregada a enormes bases de dades, la informació pot circular durant anys, combinant-se amb altres filtracions per enriquir perfils i augmentar l'eficàcia dels atacs.

Europa i Espanya: per què importa aquí

A Espanya i la resta de la UE, on WhatsApp és omnipresent, l?exposició d?informació a aquesta escala preocupa pel seu impacte potencial en milions d'usuaris i empreses. Tot i que Meta va corregir la via d'enumeració, l'incident reobre el debat sobre un disseny que es recolza en el número de telèfon.

El cas, protagonitzat per un equip universitari europeu, recorda que fins i tot funcions pensades per a la comoditat –com trobar contactes a l'instant– es poden convertir en vectors de risc si no compten amb defenses sòlides i verificades de forma contínua.

També posa el focus en la necessitat de configurar la privadesa amb criteri. Si la foto de perfil o el text públic aporten més informació de la necessària, la seva exposició a gran escala es converteix en un multiplicador d'amenaces per a usuaris particulars i professionals.

Per a organitzacions i administracions europees amb obligacions de seguretat, limitar la visibilitat de dades i reforçar procediments interns de verificació fora de lapp ajuda a reduir la superfície d'atac de campanyes de suplantació o frau.

Què pots fer ara mateix

Mancant un identificador alternatiu, la millor defensa de l'usuari passa per ajustar les opcions de privadesa del perfil i adoptar hàbits prudents a la missatgeria.

• Restringeix la foto de perfil i la informació a “Els meus contactes” o “Ningú”.
• Evita incloure dades sensibles o enllaços personals al text d'estat.
• Desconfia de missatges inesperats, fins i tot si mostren el teu nom o foto.
• Verifica per un canal secundari qualsevol sol·licitud urgent o de pagament.

Tot i que la via concreta d'enumeració massiva hagi estat tancada, aquest episodi evidència que la combinació d'identificadors públics i petites omissions de control pot derivar en exposicions enormes. Mantenir al mínim allò que altres poden veure del teu compte limita l'impacte de futures tècniques de recol·lecció.

La investigació austríaca va demostrar que una funció quotidiana podia explotar-se a escala industrial per validar milers de milions de números i associar-los perfils visibles; Meta ha endurit els límits i sosté que no hi ha proves d'abús, però els riscos denginyeria social, assenyalament en països amb prohibicions i persistència de dades exposen la necessitat de revisar el disseny basat en números de telèfon i de fomentar hàbits de privadesa més estrictes entre els usuaris europeus.