Si usas WhatsApp en web puede que tu numero aparezca en Google

Comparte este articulo

WhatsApp

Según una nueva alerta de seguridad, si usas WhatsApp en un navegador web, cualquiera podría ver tu número de teléfono privado en una búsqueda de Google.

Para que esto suceda debes usar “clic par chatear”, una función que permite que hables desde un navegador web usando WhatsApp. Por ejemplo: en una página de comercio electrónico puedes escanear el código QR de un producto para hablar con un vendedor via WhatsApp.

Según el investigador de seguridad y cazarrecompensas Athul Jayaram, si utilizas esta función de WhatsApp podrías exponer tu número privado de teléfono a Google. Este permite la posibilidad de que cualquiera pueda encontrarlo con una simple búsqueda y, lógicamente, abre la puerta a que te ataquen o usen tu teléfono para timos que pueden arruinarte.

La plataforma de mensajería WhatsApp es conocida por sus altos niveles de seguridad, con encriptación de extremo a extremo en todas las comunicaciones. Sin embargo, según este informa parece que los datos personales no son tratados con el mismo celo en determinadas situaciones.

Los números de teléfono de los usuarios son expuestos mediante el dominio de WhatsApp “wa.me”, que es el encargado de almacenar los metadatos de las comunicaciones Click to Chat mediante el uso de un URL — por ejemplo,  https://wa.me/<Número de WhatsApp>). Como no hay ninguna medida de seguridad para prevenir que los motores de búsqueda registren y almacenen estos metadatos, el efecto final es que los números de teléfono se hacen públicos.

“Tu número de teléfono es visible como texto normal en este URL y cualquiera que tenga ese URL sabe tu número. No puedes revocarlo”, dice Jayaram. “Los números de teléfono individuales pueden ser filtrados y un atacante puede mandarte un mensaje, llamarte o vender tu número a televendedores y timadores”.

Buscando en un dominio usando la búsqueda de Google, Jayaram ha localizado ya más de 300.000 números de teléfono usados en WhatsApp, hechos públicos mediante este mecanismo. Y encima, aunque pulsando sobre ellos no puedes ver el nombre del usuario, sí puedes ver la imagen del perfil de tu WhatsApp. Algo que en muchas ocasiones es suficiente para identificar a una persona y organizar un ataque o un timo.

Jayaram descubrió el fallo el 23 de mayo y lo mandó inmediatamente al dueño de WhatsApp — Facebook — usando su mecanismo de recompensas para cualquiera que encuentre fallos de seguridad.

Sorprendentemente, Facebook rechazó su denuncia porque dice que los usuarios de WhatsApp saben que está compartiendo esta información en público. Según un portavoz de WhatsApp, “aunque aprecian el informe de este investigador y el tiempo que ha invertido en comunicárnoslo, no entra dentro del sistema de recompensas porque sólo contiene información que los usuarios de WhatsApp eligen compartir públicamente.

Todos los usuarios de WhatsApp, incluyendo negocios, pueden bloquear mensajes no deseados con sólo pulsar un botón”. Sin embargo, esto no resuelve el hecho de que la información se puede utilizar para organizar timos: los números de teléfono se utilizan como forma de autenticación en muchas situaciones, por ejemplo.

Jayaram cree que la compañía se lo tiene que tomar mucho más en serio porque esto abre múltiples flancos de ataque a gente con malas intenciones: “hoy en día tu número de teléfono celular está unido a tu cartera Bitcoin, cuentas bancarias, tarjetas de crédito… [permitir] a un atacante hacer un cambio de SIM falsificado y clonado es otra posibilidad”.

Fuente: Threatpost

Comparte este articulo

Si quieres estar al momento informado de las ultimas novedades, siguenos en Telegram y recibe las notificaciones al instante

Siguenos en Telegram

Añadir un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *