Hace unos días por esas casualidades de la vida llegué al blog de Loran Kloeze, un especialista en seguridad de Los Paises Bajos. Grande fue mi sorpresa cuando leí uno de sus artículos sobre cómo recolectar grandes cantidades de datos con WhatsApp.

Ahí Loran, comentaba lo fácil que es crear una base de datos con casi todos los usuarios de WhatsApp, obteniendo sus números de teléfono, imágenes de perfil e información de estado sin siquiera tener que agregarlos a tus contactos. Un notición, una “falla” de seguridad y/o privacidad que al menos –como dice Loran- debería preocupar a Mark Zuckerberg.

A continuación detallaré un poco como funciona y a su vez como prevenir que sea usado en tu contra mejorando la privacidad de tus redes sociales.

Hace un tiempo WhatsApp permitió que fuese utilizado desde su versión web facilitando su uso, pero creando un arma de doble filo. La única manera de que esta recolección de datos no ocurra es cambiando la configuración de privacidad, pero como saben, la empresa de Mark no nos alienta mucho a hacerlo.

El script que creó Loran Kloeze es básicamente una orden que se le da a nuestro navegador con el fin de automatizar cierta recopilación de datos.

Supongamos que agregarnos un número al azar a nuestro WhatsApp, +56985743XXX, si la persona no tiene bien configurado los niveles de seguridad y privacidad en su teléfono seremos capaces de ver su foto de perfil, estado de en línea y estado en texto (los textos por defecto es el famoso ‘Hey there! Estoy usando Whatsapp’). El script es capaz de hacer esto y más, agregando cientos si no miles de números al mismo tiempo de manera correlativa, para posteriormente y entregarte una plantilla con cada uno de los usuarios.

Ahora, ¿qué podemos hacer con todos estos datos? En las palabras del mismo Loran Kloeze:

Imagina que cualquiera puede crear una base de datos con la información anterior. Esta contendría todos los números de teléfono de un país determinado, junto con las imágenes de perfil y estados en línea / fuera de línea. Después de unos meses me podría decir la frecuencia con la que han cambiado su imagen de perfil y qué imágenes. ¿Y qué hay del reconocimiento facial? Esas técnicas se han mejorado en los últimos años. Imagínense esto, me paseo y tomo una foto de un extraño. Ahora alimento la base de datos y en pocos minutos me dice qué número de teléfono pertenece a la foto que saqué. Ahora que es bastante aterrador, ¿no?

Sí, es bastante aterrador y más aún cuando en TrenDigital tomamos cada uno de estos teléfonos y los ingresamos a Facebook. Nos dimos cuenta que la gran mayoría de los usuarios no configura de buena manera su privacidad y seguridad dentro de la red social, esto porque éramos capaces de encontrar a una persona con su nombre y apellido solamente poniendo su teléfono en el buscador de Facebook.

En pocas palabras, en menos de 15 minutos habíamos creado una especie de software capaz de entregar casi todos los datos de una persona en cuestión de segundos. Nombre y apellido, número de teléfono, estado online/offline, texto de su estado, ciudad y dirección donde reside e incluso, sus gustos.

Para evitar que esto te suceda debes seguir los siguientes pasos:

1.-WhatsApp: Desde tu celular entra a la app, a mano derecha arriba verás 3 puntos verticales  haz clic y entra a Ajustes, después a Cuenta y por último a Privacidad. En Privacidad debes configurar todo como lo muestra la siguiente imagen:

Ahora, solamente tus contactos podrán ver tu información.

2.-Facebook: Debes ir a la configuración de tu cuenta. Para esto vas a la flecha desplegable a mano derecha arriba y seleccionas Configuración.

Después vas a Privacidad y configuras todo así:

Específicamente la pestaña que debes editar es ¿Quién puede buscarte con el número de teléfono que proporcionaste?”, editas y seleccionas Amigos.

Explicación para usuarios normales según Loran Kloeze en cursiva.

WhatsApp Web se conecta a sus servidores utilizando tu teléfono. En otras palabras, el navegador le indica al servidor que devuelva toda la información para un cierto número de teléfono. Parte de la información que se envía de nuevo incluyen lo siguiente:

La foto de perfil
El texto de estado o sobre el texto, los textos por defecto es el famoso ‘Hey there! Estoy usando Whatsapp’
El estado en línea / fuera de línea del usuario

Resulta que la información anterior se puede solicitar para cada número de teléfono. No es necesario que el número de teléfono sea agregado a tu lista de contactos. Y como no hay tal restricción, es posible crear una base de datos completa de números de teléfono, imágenes de perfil, textos y estados en línea / fuera de línea. La base de datos se puede configurar de tal manera que se pueden reconstruir líneas de tiempo completas de números de teléfono. Que responde a preguntas como: ¿cuándo fue el usuario con número de teléfono xxx-xxxxxx en línea y fuera de línea?

Casi todos los sitios web que se envían a tu navegador, contienen software específico que determina cómo funcionará. Dicho software está escrito en Javascript. El software determina qué sucede cuando haces clic en un botón o mueves el ratón. Pero el software también puede conectarse a un servidor para solicitar ciertos tipos de información. El software en WhatsApp Web hace eso también. Envía un número de teléfono al servidor de WhatsApp y en pocos milisegundos recibe la información sobre ese número de teléfono.

Una de las cosas buenas de ese software es que todo el mundo puede echar un vistazo al código fuente. Pero eso no es todo, también puedes utilizar el software por sí mismo mediante el uso de ciertas partes del sistema autónomo. He utilizado esa posibilidad para desarrollar un script para solicitar información de una amplia gama de números de teléfono. Esta información contiene las imágenes del perfil, los textos y los estados en línea / sin conexión. Todo el mundo puede crear un script de este tipo.

Básicamente lo que explica Loran es que puedes utilizar el software de WhatsApp a tu favor mediante, por ejemplo, la consola de Mozilla. Así puedes darle órdenes al software en base a simples scripts y un par de API’s.

Kloeze también habla de la privacidad y hasta donde podría llegar esta “falla” del sistema.

Imagina que cualquiera puede crear una base de datos con la información anterior. Esta contendría todos los números de teléfono de un país determinado, junto con las imágenes de perfil y estados en línea / fuera de línea. Después de unos meses me podría decir la frecuencia con la que han cambiado su imagen de perfil y qué imágenes. ¿Y qué hay del reconocimiento facial? Esas técnicas se han mejorado en los últimos años. Imagínense esto, me paseo y tomo una foto de un extraño. Ahora alimento la base de datos y en pocos minutos me dice qué número de teléfono pertenece a la foto que saqué. Ahora que es bastante aterrador, ¿no?

Ante esto Loran Kloeze se comunicó con WhatsApp/Facebook para hacerles saber del problema, pero la respuesta de la compañía no fue la esperada.

Resumiendo, le contestaron que si bien están conscientes de esto, no lo ven como un problema o una preocupación de privacidad.

En base a esta falla, en TrenDigital decidimos ir más allá. Supusimos que si WhatsApp hoy es parte de Facebook podríamos entrelazar la información generada por el script de Loran con las búsquedas en redes. Y nos encontramos con la “sorpresa” o no tan sorpresa que al ingresar un número de teléfono en Facebook podíamos dar con la persona.