scorecardresearch

Descubre una fuga en Whatsapp que permite acceder a datos

Carlos H. Sanz
-

El experto en ciberseguridad y miembro del Departamento de Informática de la UVa, Amador Aparicio, desvela una falla en el uso de los denominados como enlaces universales

La aplicación de mensajería es utilizada por millones de personas. - Foto: DP

El experto en ciberseguridad y miembro del Departamento de Informática de la Universidad de Valladolid, Amador Aparicio, ha desvelado una fuga de información en la conocida aplicación de mensajería, Whatsapp, la cual permite exponer números de teléfono y mensajes a través de los denominados como enlaces universales. 

Aparicio explica que existen aplicaciones para dispositivos móviles (apps) que permiten enviar mensajes a usuarios utilizando el servicio de Whatsapp. «Utilizan una funcionalidad proporcionada por Whatsapp denominada enlaces universales y presenta la ventaja de que el destinatario del mensaje no tiene que estar en la lista de contactos del dispositivo, ya que basta con proporcionar el número de teléfono para que la app, haciendo uso de los servicios de Whatsapp, envíe el mensaje al destinatario y este lo reciba directamente en la aplicación de su teléfono», explica el experto en ciberseguridad.

Esta forma de envío es habitual en aplicaciones de mensajería o negocios para recibir mensajes de potenciales clientes. Solo en Google Play existen un total de 371 apps distintas para dispositivos Android que la utilizan. «Sin embargo, desde el punto de vista de la seguridad y privacidad de los datos de los usuarios, presentan la desventaja de dejar al descubierto datos de carácter personal de los usuarios de los usuarios de Whatsapp, como números de teléfono o la fotografía de perfil del usuario», advierte Amador Aparicio.

Explicación técnica. La explicación técnica es la siguiente. Los enlaces universales utilizan una llamada con la forma https://wa.me/número?text=mensaje, donde número es el del teléfono completo en formato internacional y mensaje es el texto a enviar (https://wa.me/34612345678?text=Me%20interesa%20quedar%20contigo). Además, Whasapp permite también la creación de enlaces universales realizando llamadas de la forma https://api.Whatsapp.com/send?phone=número&text=mensaje.

«Dado que los enlaces universales que Whatsapp proporciona para una comunicación más sencilla y eficaz no dejan de ser URLs, es decir, direcciones que se ponen en los navegadores, en los dispositivos Android existe el riesgo de que la app utilice los enlaces universales junto al buscador Google Chrome y este registre la actividad», detalla Aparicio.

Dicho de otra forma, dado que Chrome y Android pertenecen a Google, la probabilidad de que esta empresa recabe la información de los enlaces universales como el número de teléfono del destinatario y el mensaje enviado «es muy alta». «De hecho, Google registra por defecto toda la actividad que hace en la web a través de un dispositivo», recuerda el experto.

¿Qué supone esta situación para el usuario? Según detalla Amador Aparicio, basta con realizar búsquedas en Google sobre los enlaces universales (wa.me y api.Whatsapp.com) y usuarios de España para que el navegador nos devuelva resultados en los que se aprecian números de teléfonos de los destinatarios de los mensajes, los mensajes de texto enviados e, incluso, la fotografía personal del usuario.

«Cualquier persona que conozca el funcionamiento de los enlaces universales, solo tiene que poner en ellos el teléfono de un destinatario para que Whatsapp le muestre la información vinculada a su perfil, como su fotografía personal, si es que el destinatario ha sido poco cuidadoso con su privacidad y tiene visible su perfil para todo el mundo, resume.

Esta fuga de información no es menor, y es que, tal y como resalta este experto en ciberseguridad, «los números de teléfono personales son datos de carácter personal», según la Ley de Protección de Datos (LPD). «Son datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables, y los números de teléfono, solo si son personales, encajan perfectamente en la definición de dato de carácter personal. El uso de los dispositivos móviles, que asignan un dispositivo a un titular, hace que el número del dispositivo móvil hagan a una persona identificada o identificable», resalta.

La solución. Amador Aparicio explica que la solución a esta fuga de información está en manos de las empresas, aunque a nivel de usuario «sería recomendable no poner fotos personales en el perfil de Whatsapp y configurarlo para que solo los contactos puedan ver la fotografía de tu perfil». 

«En cuanto a Whatsapp, es posible y sencillo evitar la fuga de información, impidiendo a cualquier buscador añadir la información personal de los usuarios de Whatsapp que reciban información a través de los enlaces universales. «Whatsapp y Facebook deberían solicitar a Google que elimine esta información de los resultados de las búsquedas para que nadie tenga acceso a los datos privados y personales de sus usuarios», termina.