La seguridad y la privacidad en aplicaciones de mensajería como WhatsApp son temas de constante preocupación. Recientes descubrimientos han puesto de manifiesto diversas vulnerabilidades que pueden comprometer la información y la experiencia de los usuarios. Es fundamental entender estos riesgos y adoptar medidas preventivas para protegerse.
Vulnerabilidades Recientes en WhatsApp
Falla CVE-2025-30401: Archivos Ejecutables Camuflados
Una de las vulnerabilidades más destacadas, registrada como CVE-2025-30401, fue descubierta por un investigador independiente en el programa de Bug Bounty de Meta. Esta falla habilitaba a los ciberatacantes a enviar archivos ejecutables (.exe) camuflados como imágenes u otros archivos similares, como PDF.
Esto se lograba modificando el tipo MIME del archivo, lo que altera la forma en que la aplicación interpreta y muestra el contenido. Así, un archivo ejecutable (.exe) malicioso podía parecer una imagen legítima y segura. Por ejemplo, mientras que image/jpeg indica una imagen en formato JPG, o application/pdf indica un archivo PDF, la manipulación del tipo MIME permitía esta suplantación. Para estar protegido contra esta amenaza, es necesario contar con la versión 2.2450.6 o una más reciente de la aplicación en Windows.
Exposición de Metadatos y Enumeración de Cuentas
Un estudio reciente evidenció cómo la explotación de metadatos públicos puede comprometer la privacidad de los usuarios. Esta falla permitía la enumeración de cuentas vinculadas a números de teléfono, posibilitando la obtención de información como el sistema operativo, la antigüedad de la cuenta y la cantidad de dispositivos vinculados. Todo esto era posible sin acceder al contenido de los mensajes ni a datos privados.
Descubrimiento y Alcance de la Enumeración
De acuerdo con los investigadores de la Universidad de Viena, un público interesado en los datos de números de teléfono expuestos serían los estafadores y spammers que buscan una base de datos de objetivos potenciales. Los investigadores de la Universidad de Viena descubrieron que la aplicación no parecía tener ninguna protección de limitación de velocidad evidente. Por ello, probaron a enumerar todos los números de Estados Unidos. "En media hora teníamos unos 30 millones de números estadounidenses. Nos quedamos un poco sorprendidos. Y luego seguimos adelante", explica Gabriel Gegenhuber, uno de los investigadores.
En India, donde los investigadores contaron casi 750 millones de números, el 62% de las cuentas mostraba públicamente una foto de perfil. Además, descubrieron que podían acceder a las fotos de perfil de aproximadamente el 57% de esos usuarios y, en otro 29%, al texto de sus perfiles.
Según Judmayer, se trata de “la exposición más extensa de números de teléfono y datos de usuario relacionada que se haya documentado”. Los datos recopilados reflejan el alcance global de la exposición. Entre los 137 millones de números estadounidenses obtenidos, el 44% tenía fotos de perfil y el 33% textos públicos.
Precedentes Históricos y Respuesta de Meta
Hace ocho años, en 2017, el investigador holandés Loran Kloeze escribió una entrada en su blog en la que señalaba que la técnica de enumeración de números de teléfono era posible y que podía utilizarse para obtener números de teléfono, fotos de perfil y también las horas en las que un usuario estaba conectado. Kloeze describió un escenario en el que la exposición de datos podría combinarse con el reconocimiento facial para crear una gigantesca base de datos de información personal identificable: "Eso sí que da miedo, ¿no?", escribió.
Meta fue notificada sobre la vulnerabilidad en abril y aplicó en octubre una medida de limitación de velocidad (rate-limiting) más estricta para prevenir la recolección masiva de datos por este método. Tras la notificación responsable, Meta actuó rápidamente: cerró la vulnerabilidad, eliminó los datos recopilados de manera indebida y reforzó las defensas contra técnicas automatizadas de scraping. En una declaración a WIRED, Meta dio las gracias a los investigadores, que informaron de su descubrimiento a través del sistema de "recompensas por fallos" de Meta, y describió los datos expuestos como "información básica disponible públicamente", ya que las fotos de perfil y el texto no estaban expuestos para los usuarios que optaron por hacerlos privados.
Según informó Wired, Meta agradeció al equipo, que reportó su descubrimiento a través del sistema de recompensas por errores, y destacó que la información expuesta correspondía a datos públicos, disponibles solo para quienes no habían restringido su visibilidad. Los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado de extremo a extremo, y los investigadores nunca accedieron a datos no públicos. Gupta añade: "No hemos encontrado pruebas de que actores maliciosos hayan abusado de este vector".
Pero hasta entonces, la exposición de los datos también podría haber sido aprovechada por cualquier otra persona que utilizara la misma técnica de raspado, añade Max Günther, otro investigador de la universidad coautor del artículo: "Si nosotros pudimos recuperar estos datos con suma facilidad, otros podrían haber hecho lo mismo".
A pesar de la respuesta de la empresa, los investigadores señalaron que no hallaron obstáculos técnicos significativos durante la extracción de datos y que la vulnerabilidad había sido advertida en 2017 por el investigador holandés Loran Kloeze.
Debilidades Criptográficas: Claves Duplicadas
El riesgo no se limita a la obtención de números de teléfono. Al examinar las claves criptográficas asociadas a 3.500 millones de cuentas, los investigadores detectaron que muchas compartían claves duplicadas, lo que supone un riesgo, pues podría permitir a terceros descifrar mensajes ajenos. Descubrieron que un número sorprendente de cuentas utilizaban claves duplicadas, un problema de seguridad dado que cualquiera que tenga la misma clave que otro usuario también podría descifrar los mensajes que se le envían. Algunas claves se reutilizaban cientos de veces y, en 20 números estadounidenses, consistían solo en ceros.
Fractura en el Cifrado de Extremo a Extremo (Reporte Checkpoint)
Se trata de un procedimiento criptográfico que utiliza un algoritmo de cifrado para transformar los mensajes, lo que los hace incomprensibles para terceros. Así, este sistema garantizaba que los mensajes no podían ser leídos ni modificados por otras personas que no fuesen remitente y destinatario. Sin embargo, Check Point asegura haber encontrado una fractura en este encriptado, con la posibilidad de difundir y modificar la información. Pero ¿Cómo nos afectan? Pero ¿Qué consecuencias puede tener esta fractura en la privacidad? Son algunas de las cuestiones que plantea el descubrimiento de Checkpoint.
Cifrado de extremo a extremo. 🔐 ¿Qué es y porqué es importante?
Recomendaciones de Seguridad para Usuarios de WhatsApp
Ante estas vulnerabilidades, la protección personal es crucial. Aquí se presentan diversas recomendaciones:
- Mantén Actualizados tus Dispositivos y Aplicaciones: Mantén actualizados tus dispositivos, sistemas operativos y aplicaciones, incluyendo WhatsApp, a las últimas versiones disponibles. La versión 2.2450.6 o más reciente para Windows es esencial para algunas correcciones.
- Desconfía de Mensajes Urgentes y Sospechosos: Desconfía de mensajes urgentes de personas o entidades que te parezca raro que te contacten. Si tienes la posibilidad, bloquea al remitente y luego contacta a la entidad para corroborar que el mensaje sea legítimo. Este tipo de mensajes inesperados, que te instan a actuar con urgencia, es la forma en que se diagraman las campañas de phishing, cada vez más difíciles de detectar.
- No Compartas tu Código de Verificación: El primer paso para proteger tu cuenta es no compartir nunca tu código de verificación con nadie, ni siquiera con personas que conoces. Este código es único y sirve para verificar que el número de teléfono que estás usando pertenece realmente a ti.
- Evita Enlaces Sospechosos: Los ciberdelincuentes a menudo utilizan enlaces sospechosos para atraer a las víctimas a sitios web fraudulentos o para descargar malware en sus dispositivos.
- Cuidado con el "SIM Swapping": El SIM swapping es una técnica de phishing que implica la transferencia fraudulenta de un número de teléfono a un dispositivo controlado por un atacante.
- Monitorea la Actividad de tus Cuentas: Si has notado alguna actividad sospechosa en alguna de tus cuentas, cambia inmediatamente tus contraseñas y ponte en contacto con el servicio pertinente para informarles del fraude.
Recuerda que además de vulnerabilidades explotadas por cibercriminales, también los mensajes de phishing y otros engaños están a la orden del día. El fin último de estos engaños será el robo de tu información, o una estafa relacionada con la compra de productos inexistentes a precios irrisorios, entre otros engaños posibles.
Hacia una Mayor Privacidad: La Función de Nombres de Usuario
En los últimos días, el servicio de mensajería de Meta ha comenzado a probar una función de nombre de usuario en versión beta, que podría ofrecer un mejor enfoque para la privacidad. "Los números de teléfono no se diseñaron para usarse como identificadores secretos de cuentas, pero así es como se usan en la práctica. Si tienes un servicio importante que usa más de un tercio de la población mundial, y este es el mecanismo de descubrimiento, eso es un problema", concluye Judmayer.
tags: #wassap #vulnerabilidad #contrasenas