Hace unos días, el investigador Athul Jayaram descubrió que Google estaba indexando los números de teléfono asociado a las cuentas de WhatsApp. Esto es posible gracias a la funcionalidad denominada “Clic para chatear”, que permite crear un enlace para que cualquiera que haga clic pueda iniciar una conversación sin necesidad de tener el número agendado. Sin embargo, estos datos son indexados por Google y los hace visibles en los resultados de búsqueda. Si bien el investigador considera que se trata de un fallo de seguridad que afecta a la privacidad de los usuarios, desde Facebook, compañía propietaria de WhatsApp, aseguran que no se trata de un fallo y que los motores de búsqueda solo revelan información que los usuarios han decidido hacer pública.
Lectura relacionada: Cómo pueden secuestrar tu cuenta de WhatsApp con tu número de teléfono
En un primer momento los dominios de Facebook “wa.me” y “api.whatsapp.com” eran los que arrojaban los números de teléfono en los resultados de búsqueda, pero luego solo quedó visible en “api.whatsapp”, por lo que es posible observar los números que los motores de búsqueda están indexando utilizando el filtro de búsqueda de la siguiente manera: “site:https://api.whatsapp.com/”.
Si bien no se revela el nombre de la persona asociado a la cuenta, sí se puede ver la imagen de perfil de la cuenta en caso de que el usuario tenga configurada la imagen manera pública.
Gracias a la funcionalidad “Clic para chatear” cualquiera que haga clic en uno de estos resultados podrá iniciar una conversación a través del chat sin necesidad de tener el número agendado, y eventualmente ver la imagen de perfil.
Según comentó Jayaram a ThreatPost, WhatsApp debería haber añadido un archivo robot.txt para esos dominios y de esta manera evitar que sean indexados por los motores de búsqueda como Google. Además, argumenta que esta información podría ser utilizada para el armado de bases de datos con números legítimos y/o para el envío de spam o distribución de campañas fraudulentas. Por otra parte, el investigador comentó que si alguien realiza una búsqueda por imagen utilizando la foto de perfil pública podría llegar a encontrar más información del propietario de la cuenta, incluso llegar a establecer la identidad del usuario en caso de encontrar la misma imagen en otra red social.
De acuerdo con el testimonio brindado por un vocero de WhatsApp al medio, la función clic para chatear es ampliamente utilizada por pequeñas empresas a lo largo de todo el mundo para ofrecer una vía de comunicación directa con los clientes. Además, comentó el vocero, los usuarios y empresas tienen además la opción de bloquear mensajes no deseados son solo presionar un botón.
ThreatPost contactó a los usuarios detrás de algunas de las cuentas vinculadas a los números que aparecían en el buscador y varios aseguraron estar al tanto e incluso manifestaron que lo habían hecho a propósito para promover su negocio y una vía de contacto a través de la aplicación. Sin embargo, también existieron usuarios que desconocían el hecho de que sus números aparecieran públicos de esta manera.
Para el investigador del laboratorio de ESET Latinoamérica, Luis Lubeck, “probablemente lo que Google indexa es información que está presente en el chatbot de alguna página, lo que quiere decir que es información que los propietarios de las cuentas están compartiendo abiertamente. Sin embargo, coincide en que el hecho de que aparezcan tantos números indexados por Google (al momento de realizar una búsqueda eran más de cien mil los números) representa una gran oportunidad para que spammers recopilen esos números.
Al momento de publicar este artículo los números ya no aparecen en los resultados de búsqueda de Google.
Quizás te interese: Engaño solicita reenviar código de verificación para robar cuenta de WhatsApp