AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Cibercriminales exponen datos de 3.500 millones de usuarios de WhatsApp mediante abuso de la API de descubrimiento de contactos**

admin

### Introducción

Un reciente hallazgo de la comunidad de ciberseguridad ha puesto en el punto de mira a WhatsApp, después de que investigadores detectasen la recopilación masiva de datos de usuarios a través de una vulnerabilidad en la API de descubrimiento de contactos. El incidente ha permitido la filtración de hasta 3.500 millones de números de teléfono móvil y otra información personal asociada, exponiendo a los afectados a riesgos significativos de ataques de ingeniería social, phishing y suplantación de identidad.

### Contexto del Incidente o Vulnerabilidad

La API de descubrimiento de contactos de WhatsApp está diseñada para facilitar que los usuarios identifiquen qué contactos de su libreta telefónica también utilizan la plataforma. Sin embargo, los investigadores han descubierto que la ausencia de mecanismos de rate limiting (limitación de frecuencia de consultas) permitió que actores maliciosos automatizasen solicitudes masivas, enumerando sistemáticamente números de teléfono válidos y extrayendo información asociada de manera no autorizada.

El abuso de esta funcionalidad representa una de las mayores exposiciones de datos de la historia reciente en servicios de mensajería, superando ampliamente incidentes anteriores tanto por la magnitud de los datos como por el alcance geográfico, ya que WhatsApp cuenta con más de 2.000 millones de usuarios repartidos en más de 180 países.

### Detalles Técnicos

El vector de ataque se basa en la explotación de la API de descubrimiento de contactos de WhatsApp, una interfaz que compara los números de teléfono proporcionados por el usuario con la base de datos de usuarios de la plataforma. Al carecer de limitaciones efectivas en el número de consultas que se podían realizar por unidad de tiempo, los atacantes automatizaron el proceso mediante scripts personalizados y frameworks de automatización como Selenium y Puppeteer.

El proceso consistía en la generación masiva de números de teléfono en rangos nacionales e internacionales, que posteriormente eran enviados a la API a través de solicitudes legítimas. Como respuesta, la API confirmaba qué números disponían de una cuenta activa de WhatsApp y, en algunos casos, devolvía metadatos adicionales como nombre de perfil, estado, foto y última conexión.

Aunque no existe un CVE específico asignado a esta vulnerabilidad, se alinea con tácticas y técnicas del marco MITRE ATT&CK, concretamente con la técnica T1110 (Brute Force) para la enumeración, y T1589 (Obtain Capabilities: Gather Victim Identity Information) en la fase de reconocimiento. Los Indicadores de Compromiso (IoC) incluyen patrones de tráfico anómalo hacia los endpoints de la API y tasas inusuales de solicitudes por dirección IP.

### Impacto y Riesgos

El impacto para los usuarios afectados es considerable. Los datos recopilados —principalmente números de teléfono y su vinculación a cuentas de WhatsApp— pueden ser aprovechados para campañas masivas de phishing, smishing, vishing y suplantación de identidad (SIM swapping). Además, la exposición de información de perfil permite a los atacantes personalizar sus ataques, incrementando su eficacia.

Para las empresas, el incidente supone un riesgo añadido en términos de cumplimiento normativo, especialmente bajo la regulación europea GDPR y la Directiva NIS2, ya que la protección de datos personales es un mandato legal estricto. El volumen de datos expuestos podría traducirse en sanciones millonarias en caso de que se determine una negligencia por parte del controlador de datos.

### Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de amenazas, es fundamental que los desarrolladores de APIs implementen controles de acceso y limitaciones de frecuencia robustas (rate limiting), así como mecanismos de autenticación y detección de tráfico automatizado. WhatsApp recomienda a los usuarios ajustar su configuración de privacidad, restringiendo la visibilidad de su información personal únicamente a contactos verificados.

Se aconseja a las organizaciones monitorizar sus infraestructuras en busca de patrones de tráfico inusuales, especialmente hacia servicios de mensajería y APIs expuestas. Los equipos de respuesta a incidentes deben revisar logs y establecer alertas ante tasas anómalas de consultas.

### Opinión de Expertos

Especialistas en ciberseguridad como Troy Hunt (creador de Have I Been Pwned) advierten que la falta de controles básicos en las APIs expuestas al público es un vector recurrente de brechas de datos masivas. «La economía del cibercrimen se nutre de la automatización y de la capacidad de exfiltrar grandes volúmenes de datos con mínimo esfuerzo técnico», señala Hunt. Desde la perspectiva de los CSO, la seguridad por diseño y la protección de la privacidad por defecto deberían ser requisitos imprescindibles en cualquier desarrollo orientado a la gestión de información sensible.

### Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad de que tanto usuarios como empresas adopten una postura de seguridad proactiva. Las compañías deben revisar sus dependencias en servicios de terceros y exigir garantías contractuales sobre el tratamiento seguro de datos. Para los usuarios, la recomendación es desconfiar de cualquier comunicación inesperada que utilice información personal aparentemente legítima, ya que podría ser resultado de una filtración como la aquí descrita.

A nivel institucional, se prevé un aumento en la presión regulatoria hacia plataformas de mensajería y redes sociales, obligándolas a someter sus APIs a auditorías de seguridad periódicas y a demostrar cumplimiento con los estándares internacionales de protección de datos.

### Conclusiones

La explotación de la API de descubrimiento de contactos de WhatsApp y la recopilación de 3.500 millones de números de teléfono evidencia los riesgos asociados a una gestión deficiente de las interfaces expuestas. Este incidente destaca la importancia de la seguridad en el diseño de APIs y la necesidad de controles preventivos sólidos para mitigar la automatización maliciosa. La transparencia, la cooperación con las autoridades y la adaptación a las mejores prácticas del sector son, a día de hoy, imperativos ineludibles para garantizar la confianza de los usuarios y la continuidad del negocio en un entorno cada vez más hostil.

(Fuente: www.bleepingcomputer.com)