Recientemente, investigadores de seguridad descubrieron una vulnerabilidad crítica en la API de descubrimiento de contactos de WhatsApp que permitió la extracción masiva de datos, logrando recopilar información de 3.5 mil millones de cuentas activas a nivel global. Este incidente subraya los riesgos inherentes a las API que carecen de controles de seguridad adecuados, un problema recurrente en la industria tecnológica.
La Vulnerabilidad: Ausencia de Límites de Tasa (Rate Limiting)
La falla explotada residía en el endpoint GetDeviceList de la API de WhatsApp, diseñado para la función de descubrimiento de contactos. Este mecanismo permite verificar si un número de teléfono está asociado a una cuenta de WhatsApp.
El problema central fue la ausencia de límites de tasa (rate limiting). Los investigadores pudieron enviar un volumen masivo de consultas (más de 100 millones de números por hora) desde un solo servidor y con solo cinco sesiones autenticadas. WhatsApp no bloqueó las cuentas, no restringió el tráfico ni la dirección IP, permitiendo la enumeración a gran escala.
La Magnitud de la Exposición
Los investigadores generaron un conjunto global de 63 mil millones de números de teléfono potenciales y, al contrastarlos con la API, confirmaron la existencia de 3.5 mil millones de cuentas activas. Esta cifra representa uno de los conjuntos de datos más grandes jamás recopilados en un estudio de seguridad responsable.
Además de confirmar el número de teléfono, el equipo pudo utilizar otros endpoints de la API (GetUserInfo, GetPrekeys, FetchPicture) para raspar información adicional expuesta públicamente, incluyendo:
Fotos de perfil.
Texto de la sección "Acerca de mí" ("About"), que a menudo contiene detalles personales o enlaces a otras redes sociales.
Claves públicas para la encriptación de extremo a extremo.
Se observó que millones de números extraídos seguían activos en WhatsApp, ilustrando cómo las fugas de datos masivas mantienen su utilidad para actores maliciosos durante años.
La Respuesta y la Lección de Seguridad
Tras la notificación responsable por parte de los investigadores (procedentes de la Universidad de Viena y SBA Research), Meta (la empresa matriz de WhatsApp) implementó protecciones de límite de tasa para mitigar la vulnerabilidad.
Este incidente es un recordatorio severo de que las API que realizan búsquedas de datos o cuentas sin salvaguardias adecuadas se convierten en blancos fáciles para la enumeración a gran escala. Plataformas como Facebook y Twitter han enfrentado problemas similares en el pasado, lo que refuerza la lección crítica de que la gestión de accesos y la implementación de rate limiting deben ser prioritarias en el desarrollo y mantenimiento de cualquier interfaz de programación de aplicaciones.
Autor: Fredy Avila
No olvides Compartir...
Síguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios