Visitas: 3121
Se puede ingresar a grupos de WhatsApp sin ser invitado

Otra grave falla de seguridad de WhatsApp
Desde que WhatsApp permitió invitaciones a los grupos mediante hipervínculos (link) abrió una gran ventana de inseguridad que ocasiona que todos los integrantes del mismo se encuentren expuestos a cualquier persona que quiera robar sus datos en Internet.

Para que entiendas mejor, cuando alguien crea un grupo de WhatsApp, la aplicación genera un hipervínculo o dirección url que cuelga del dominio https://chat.whatsapp.com/

Esa invitación lleva un ID (par de números y letras), una especie de nombre que identifica al grupo. Todo el que tenga acceso a esa url o ID podrá conectarse. Claro está que el administrador del grupo siempre podrá eliminar a cualquier miembro que no desee en cualquier momento, incluso si entraste a través de este hipervínculo.


Generalmente, este hipervícunculo se comparte en la app, ¿pero que pasa si estos contactos lo comparten en sus redes sociales (Facebook, Twitter) o bien lo publican en su web o blog particular? Es ahí cuando quedan expuestos y al alcance de todo el mundo al ser indexados en los buscadores.

Para buscar si estos hipervínculos fueron indexados, utilizo dos de los buscadores más populares: Google y Bing.

Al utilizar el comando para buscar ID relacionados a la URL emitida por WhatsApp en Google, no encuentro absolutamente nada. Esto se debe a que Google elimina este tipo de links de su buscador (un claro ejemplo que Google SÍ manipula lo que encontrás en tus búsquedas).

¿Y si nos damos una vuelta por Bing? Bueno, aquí está la sorpresa. Bing trae como resultados todos los grupos disponibles en WhatsApp. 

En la primer página, me trae un grupo llamado \"Instagram Spam\" por lo que decido ingresar y unirme al mismo.

Al hacer clic me pide que inicie sesión en WhatsApp Web lo que realizo a continuación escaneando mi código

Una vez que me uno, tengo 84 persona que nunca he conocido con su número de teléfono, información de estado e imagen de perfil. Ya tengo tres datos.

Cómo pueden observar, WhatsApp me advierte del cifrado extremo a extremo y de que me uní al grupo por enlace de invitación (dicho enlace lo envió el administrador del grupo a sus amigos pero nunca se imaginó que está publicado en la web y al alcance de cualquiera).

Todos los integrantes del grupo tienen característica 34 en sus teléfonos por lo que son de España (según Google).

Si a estos teléfonos los copias y pegás en el buscador de Facebook podés conocer sus perfiles en la red social más popular del mundo y esto se debe a que Mark Zuckerberg decidió unificar y entrelazar las bases de datos de WhatsApp y Facebook hace un par de meses atrás.

También, gracias a los nuevos \"Estados de WhatsApp\", estas personas corren aún más riesgo ya que el intruso del grupo puede agendar a cada uno de los integrantes como contactos en silencio y luego ver los estados que publica cada uno en la parte superior de la aplicación.

¿Hace falta decir algo más? WhatsApp es una de las aplicaciones más inseguras y con esto no quiero decirte que dejes de usarla, sólo que seas consciente en su uso y que todo lo que publicas en las conversaciones pueden seriamente comprometidas.

Más información: mdz