Los mensajeros móviles populares como WhatsApp exponen datos personales a través de servicios de descubrimiento que permiten a los usuarios encontrar contactos basados en números de teléfono de su libreta de direcciones, dicen los investigadores.
Al instalar un mensajero móvil como WhatsApp, los nuevos usuarios pueden comenzar a enviar mensajes de texto instantáneamente a los contactos existentes en función de los números de teléfono almacenados en su dispositivo.
Para que esto suceda, los usuarios deben otorgar permiso a la aplicación para acceder y cargar regularmente su libreta de direcciones en los servidores de la empresa en un proceso llamado descubrimiento de contactos móviles.
El estudio de la Universidad Técnica de Darmstadt y la Universidad de Würzburg en Alemania muestra que los servicios de descubrimiento de contactos actualmente implementados amenazan gravemente la privacidad de miles de millones de usuarios.
Utilizando muy pocos recursos, los investigadores pudieron realizar prácticos ataques de rastreo en los populares mensajeros móviles WhatsApp, Signal y Telegram.
Los resultados de los experimentos demuestran que los usuarios malintencionados o los piratas informáticos pueden recopilar datos confidenciales a gran escala y sin restricciones notables al consultar los servicios de detección de contactos para obtener números de teléfono aleatorios.
Para el estudio, los investigadores consultaron el 10% de todos los números de teléfonos móviles de EE. UU. Para WhatsApp y el 100% para Signal.
De ese modo, pudieron recopilar (meta) datos personales que se almacenan comúnmente en los perfiles de usuario de los mensajeros, incluidas imágenes de perfil, apodos, textos de estado y el tiempo de «última conexión».
Los datos analizados también revelan interesantes estadísticas sobre el comportamiento de los usuarios. Por ejemplo, muy pocos usuarios cambian la configuración de privacidad predeterminada, que para la mayoría de los mensajeros no es nada amigable con la privacidad.
Los investigadores encontraron que alrededor del 50 por ciento de los usuarios de WhatsApp en los EE. UU. Tienen una imagen de perfil público y el 90 por ciento un texto público de «Acerca de».
Curiosamente, el 40 por ciento de los usuarios de Signal, que se puede suponer que están más preocupados por la privacidad en general, también están usando WhatsApp, y todos los demás usuarios de Signal tienen una imagen de perfil público en WhatsApp.
El seguimiento de estos datos a lo largo del tiempo permite a los atacantes crear modelos de comportamiento precisos.
Cuando los datos se comparan a través de redes sociales y fuentes de datos públicas, los terceros también pueden crear perfiles detallados, por ejemplo, para estafar a los usuarios.
Para Telegram, los investigadores encontraron que su servicio de descubrimiento de contactos expone información confidencial incluso sobre los propietarios de números de teléfono que no están registrados en el servicio.
«La información que se revela durante el descubrimiento de contactos y se puede recopilar mediante ataques de rastreo depende del proveedor de servicios y de la configuración de privacidad del usuario», escribieron los investigadores.
Dado que no existen restricciones notables para registrarse en servicios de mensajería, cualquier tercero puede crear una gran cantidad de cuentas para rastrear la base de datos de usuarios de un mensajero en busca de información solicitando datos para números de teléfono aleatorios.
«Recomendamos encarecidamente a todos los usuarios de aplicaciones de mensajeros móviles que revisen su configuración de privacidad», dijo el equipo.
Está previsto que el estudio se publique en febrero de 2021 en el 28° Simposio anual de seguridad de redes y sistemas distribuidos (NDSS), una de las principales conferencias sobre seguridad de TI.