WhatsApp dejó abierta una función que permitió mapear 3.500 millones de cuentas y ver fotos de perfil: 43,8 millones son de Argentina

Un equipo de la Universidad de Viena logró mapear 3.500 millones de cuentas activas de WhatsApp a partir de una técnica automatizada de escaneo masivo de contactos. El estudio identificó 43,8 millones de números argentinos junto con fotos de perfil y estados, ya que la aplicación no tenía límites para evitar este tipo de recolección. Por esta situación, ya corregida, se presentó una denuncia contra Meta, propietaria de la app de mensajería, ante la Agencia de Acceso a la Información Pública para saber el alcance del impacto local.

La información se conoció luego de que el medio especializado Wired publicara este martes un artículo en el que se explicaba cómo se podía abusar del “descubrimiento de contacto”, a partir del trabajo de cinco investigadores de la Universidad de Viena. Esta función de la app permite saber si una persona está en WhatsApp al agregar su número de teléfono. Al cargar un contacto nuevo, la aplicación indica de forma automática si existe una cuenta asociada y, si el usuario no cambió su configuración de privacidad, muestra su foto de perfil y el texto que eligió para describirse (el “estado”). Los analistas probaron este mecanismo desde la versión web del servicio y se encontraron con que no había límites sobre la cantidad de consultas que podían realizar.

En una primera prueba, al enumerar números de Estados Unidos, lograron recolectar 30 millones en apenas media hora. Ante la falta de bloqueos de WhatsApp, repitieron la secuencia de forma sistemática y escalaron el proceso a nivel global, generando variantes numéricas posibles para cada país y verificando una por una. Así comprobaron que podían ejecutar decenas de miles de millones de consultas y que WhatsApp simplemente respondía a todas, sin interponer una medida de seguridad.

En pocos días, los investigadores armaron una base de datos de 3.500 millones de números válidos. En el 57% de esas cuentas lograron ver las fotos de perfil, en un 29%, la descripción del “About” (“Acerca de”).

La gravedad del caso radica en su escala y en sus implicancias globales. Un registro de 3.500 millones de números, acompañado en muchos casos por fotos reales y textos identificatorios, constituye una base de datos invaluable para estafadores, spammers y operadores de fraude, que dependen justamente de esta información para construir campañas creíbles.

Algo que señala Andy Greenberg, el periodista especializado en ciberseguridad de Wired, es que el riesgo es todavía mayor en países donde WhatsApp está prohibido. La extracción reveló, por ejemplo, 2,3 millones de números registrados en China y 1,6 millones en Myanmar, jurisdicciones en las que los gobiernos persiguen a quienes usan plataformas calificadas como ilícitas. Los investigadores recuerdan que, según reportes previos, en China hubo detenciones simplemente por tener instalada la aplicación.

WhatsApp sostiene que no hubo una “exposición” de números porque, según la compañía, el proceso se limitó a un scraping (un proceso automatizado de extracción de información) que requería conocer previamente cada teléfono y que las fotos y estados obtenidos eran visibles según la configuración de privacidad de cada usuario. Para la empresa, no se trató de una fuga de datos desde sus sistemas, sino de una recolección externa.

Sin embargo, los investigadores describen algo distinto: la aplicación permitía realizar consultas automáticas e ilimitadas para verificar si un número era válido en WhatsApp, información que no es pública, y, en más de la mitad de los casos, acceder además a fotos y textos de perfil sin restricciones. Esa falta de controles, abierta desde 2017 pese a avisos formales, fue lo que posibilitó el mapeo masivo de 3.500 millones de cuentas.

Es decir: con saber el número de teléfono de un usuario, se puede saber si tiene WhatsApp o no, además de acceder a su foto de perfil si la tiene pública. Si eso se automatiza de manera masiva, el resultado es una suerte de censo poblacional de la aplicación.

Clarín se contactó con la división Argentina de Meta para consultar sobre el impacto de la investigación. La empresa compartió declaraciones de Nitin Gupta, vicepresidente de Ingeniería de WhatsApp: “Estamos agradecidos con los investigadores de la Universidad de Viena por su colaboración responsable y dedicación en nuestro programa de recompensas por errores (Bug Bounty). Gracias a esta colaboración, se identificó exitosamente una técnica de enumeración innovadora que excedía los límites previstos, permitiendo a los investigadores recopilar información básica disponible públicamente. Ya estábamos desarrollando sistemas líderes en la industria para prevenir la recolección automatizada, y este estudio fue fundamental para poner a prueba y confirmar la eficacia inmediata de estas nuevas defensas”.

La empresa, además, enfatizó que no se vulneraron los mensajes de los usuarios: “Es importante destacar que los investigadores han eliminado de forma segura los datos recogidos como parte del estudio, y no hemos encontrado evidencia de que actores maliciosos abusen de este vector. Como recordatorio, los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado de extremo a extremo predeterminado de WhatsApp, y los investigadores no tuvieron acceso a ningún dato no público”, dijo Gupta. La empresa, de hecho, destacó la investigación en un blog propio, publicado este mismo martes.

Sin embargo, en Argentina ya hubo repercusiones legales sobre la investigación. Los abogados especializados en protección de datos Daniel Monastersky y Facundo Malaureille, directores de la diplomatura de Data Governance and Privacy de la Universidad Austral, presentaron una denuncia frente a la Agencia de Acceso a la Información Pública para que se investigue esta exposición de datos.

“Esto no es un hackeo sofisticado donde alguien tuvo que romper la puerta, es una empresa grande que sabía del problema desde 2017, recibió un aviso formal, y durante 8 años decidió no hacer nada. Eso es negligencia deliberada, porque Meta tuvo casi una década para implementar medidas técnicas básicas que cualquier empresa responsable hubiera implementado hace tiempo y no lo hizo”, sentenció Monastersky en diálogo con este medio.

“Entre esos millones de números comprometidos hay miles de argentinos: tus contactos, tus amigos, tu familia. Estuvieron expuestos durante años sin que Meta notificara a nadie, sin avisar, sin pedir disculpas y los usuarios argentinos no tenían ni idea de que sus números estaban en riesgo. Eso viola directamente la ley de protección de datos que tiene Argentina“, agregó, en referencia a la Ley 25.326. La defensa de Meta, en este caso, es que el usuario puede elegir proteger su foto de perfil y su estado ante terceros.

El pedido a la Agencia intenta tener más información sobre Argentina, que aparece décimo novena en la lista: “Pedimos que la AAIP investigue si otros actores de amenazas explotaron esta misma vulnerabilidad durante los 8 años que estuvo abierta. Meta tiene registros de acceso. Debe saber si alguien más probó lo que los investigadores de Viena probaron”, dijo Malaureille.

En el caso de Argentina, la investigación permitió sacar la siguiente información:

• Número de cuentas activas: Se descubrieron 43.854.434 cuentas activas de WhatsApp en Argentina.

• Proporción global: Estas cuentas representan el 1,27 % del total de cuentas de WhatsApp encontradas a nivel mundial (3.45 mil millones).

• Adopción per cápita: La tasa de adopción de WhatsApp en Argentina es del 96,5 % de la población. Esta alta cifra se alinea con la observación general de que WhatsApp es extremadamente popular en América Latina.

• Foto de perfil pública: El 54,8 % de las cuentas tenían una imagen de perfil pública disponible.

• Texto “Acerca de” Público (About Text): El 32,8 % de las cuentas tenían un texto “acerca de” recuperable.

• Uso de cuentas de empresa: El 5,4 % de las cuentas activas en Argentina estaban marcadas como cuentas de empresa (Business Accounts).

Los investigadores alertaron a Meta en abril y borraron los datos. La empresa recién aplicó una medida más agresiva de limitación de esta técnica empleada por los investigadores en octubre, para cerrar la puerta a esta vulnerabilidad.

Para los investigadores, se trata de “la exposición más extensa de números de teléfono y datos relacionados jamás documentada”.

Según información compartida por WhatsApp, sin embargo, “presentar el descubrimiento de contactos por teléfono como un defecto fundamental malinterpreta las expectativas y patrones de comunicación del usuario, ya que todas las grandes plataformas de mensajería (Signal, Telegram, iMessage) utilizan números de teléfono para descubrir contactos por la misma razón: es la forma en que miles de millones de personas prefieren conectarse”.

Más allá de estas idas y vueltas, el estudio planteó así un problema de fondo: el sistema de identificación de WhatsApp se basa en los números de teléfono, que no fueron diseñados para funcionar como credenciales secretas ni como llaves únicas para servicios utilizados por miles de millones de personas.

En paralelo, WhatsApp ya comenzó a probar un sistema de nombres de usuario, una alternativa que podría ofrecer un mejor equilibrio entre privacidad y usabilidad: puede ser más incómodo para el usuario promedio, pero le da una barrera de privacidad más alta a quien quiera usarlos.