WhatsApp, con 3.500 millones de cuentas activas a principios de 2025, es la
plataforma de mensajería instantánea más grande del mundo. Dada su enorme base
de usuarios, WhatsApp desempeña un papel fundamental en la comunicación
global.
Para iniciar conversaciones, los usuarios primero deben averiguar si sus
contactos están registrados en la plataforma. Esto se logra consultando los
servidores de WhatsApp con los números de teléfono móvil extraídos de la
libreta de direcciones del usuario (si este ha permitido el acceso).
Esta arquitectura permite inherentemente la enumeración de números de
teléfono,
ya que el servicio debe permitir a los usuarios legítimos consultar la
disponibilidad de sus contactos. Si bien la limitación de la velocidad de las
consultas es una defensa estándar contra el abuso, en la investigación,
«Hey there! You are using WhatsApp: Enumerating Three Billion Accounts
for Security and Privacy»,
los investigadores de la Universidad de Viena, revisaron el problema y demostraron que WhatsApp sigue
siendo altamente vulnerable a la enumeración a gran escala.
En el estudio,
pudieron sondear más de cien millones de números de teléfono por hora
sin encontrar bloqueos ni limitaciones de velocidad efectivas.
Los hallazgos demuestran no solo la persistencia, sino también la gravedad de
esta vulnerabilidad. Demostraron, además, que casi
la mitad de los números de teléfono expuestos en la filtración de datos de
Facebook de 2021 siguen activos en WhatsApp, lo que subraya los riesgos persistentes asociados a este tipo de
filtraciones.
Asimismo, pudieron realizar un censo de usuarios de WhatsApp, lo que permitió
vislumbrar la información macroscópica que un servicio de mensajería de gran
envergadura puede generar, incluso con el cifrado de extremo a extremo de los
mensajes.
Con los datos recopilados, también descubrieron la reutilización de ciertas
claves X25519 en diferentes dispositivos y números de teléfono, lo que indica
implementaciones inseguras (personalizadas) o actividad fraudulenta.
En el artículo también ofrecen información sobre el proceso de remediación
colaborativa mediante el cual confirmaron que se había resuelto el problema
subyacente de limitación de velocidad.
Fuente: Hey there! You are using WhatsApp: Enumerating Three Billion Accounts
for Security and Privacy»