La función Click To Chat de Whatsapp está indexada por los robots de Google, y más de 300.000 números de teléfono ya están en el motor de búsqueda, accesible para el mayor número de personas posible. Alertado por un experto en seguridad, Facebook, el editor de Whatsapp, asegura que esto no es ni un defecto ni un fallo.
Hace cuatro meses, se descubrió que las discusiones privadas hechas en Whatsapp terminaban en los motores de búsqueda de Google y Bing. Una enorme laguna jurídica, ya que estas discusiones eran de libre acceso, y un espíritu malicioso podía así recuperar los datos telefónicos, especialmente de las personalidades.
Esta semana, Athul Jayaram, un rastreador de vulnerabilidades, descubrió otra falla de privacidad cuando Google indexa números de teléfono relacionados con Whatsapp. Potencialmente, se pueden encontrar millones de números de teléfono en el motor de búsqueda y éste está vinculado a la función «Click to Chat» que permite iniciar un debate directamente desde una página web. Este es un tipo de widget que puedes insertar en tu sitio web para ser contactado directamente. Escaneas un código QR o haces clic en un enlace, y te pones en contacto con la persona sin marcar un número.
Ya hay 300.000 números de teléfono indexados por Google
El problema es que en el enlace utilizado para iniciar la conversación, se encuentra el número de teléfono de la persona llamada. El enlace, por lo tanto, toma la siguiente forma: https://wa.me/06xxxxxxxx, y Google indexa la página y por lo tanto el número. «Su número de móvil es visible en texto plano en esta URL, y cualquiera que obtenga la URL puede ver su número de móvil», explicó el experto en seguridad a Threatpost.
Para fundamentar su afirmación, el experto en seguridad realizó una consulta en Google, pidiendo ver todas las páginas del dominio wa.me, y descubrió que 300.000 números de teléfono de Whatsapp ya estaban indexados. Así, un hacker puede recuperarlos fácilmente y utilizarlos para enviar spam a la gente, o revenderlos a las empresas de marketing.
Aunque el número de teléfono no incluya la información de contacto personal del usuario, sigue siendo un dato privado y el experto también pudo acceder a las fotos de perfil de los usuarios. Gracias a la búsqueda inversa en Google Images, que permite recuperar fotos similares, un hacker podría lograr identificar a las personas a través de sus posibles cuentas en las redes sociales (Facebook, Twitter, Old Friends, etc.).
En el caso de Facebook, los usuarios consienten
¿Qué piensa Facebook, editor de Whatsapp? Bueno, por su parte, no es ni un error ni un defecto. Facebook responde que los usuarios tienen la posibilidad de no mostrar su número de teléfono, y que la visualización de este número está precisamente vinculada a la función «Click to Chat». También es posible bloquear las llamadas no deseadas en caso de abuso.
El investigador responde que los usuarios no son necesariamente conscientes de que Google indexa estos números y que son muy fáciles de encontrar. Además, los números de teléfono están ahora vinculados a cuentas bancarias, suscripciones en línea o cuentas de redes sociales, y pueden utilizarse para piratear datos personales. Por lo tanto, pide a Whatsapp y a Google que cifren el número, al menos en los resultados.
