Unos 176 mil números de WhatsApp quedaron expuestos en la web: se podía acceder a ellos con una simple búsqueda en internet, según reportó el sitio Genbeta, que fue alertado por Jesús Porra, especialista en SEO. El problema se corrigió y ahora esta información ya no está disponible pero sí lo estaba hasta hace unas horas.
El especialista en ciberseguridad Athul Jayaram también alertó sobre este tema y publicó un informe dando cuenta de cómo ocurrió. Al ingresar en el buscador “site:https://api.whatsapp.com/send?phone=” aparecía un listado de miles de números publicados. Ahora, como ya se mencionó, esto no ocurre. Pero quedó claro que mucha información confidencial quedó expuesta en la web.
¿Por qué ocurrió? Como se sabe, el buscador indexa todos los enlaces publicados en las páginas web. En esas páginas, que son públicas, se publican diferente tipo de información, entre ellas links entre los cuales, por ejemplo, pueden estar los contactos de las personas responsables de algún aspecto vinculado al servicio que se ofrezca en esa página.
Hay una opción conocida como “clic para chatear” que permite recibir y enviar mensajes de diferentes usuarios sin tener que primero añadir el número de WhatsApp a la agenda de contactos. Es una herramienta que suele ser utilizada por negocios para interactuar con sus clientes.
Para hacer uso de esta opción hay que ingresar el número de teléfono luego del signo “igual" al final de este código https://api.whatsapp.com/send?phone=” . Una vez que se ingresó el número allí se genera un enlace que se puede insertar dentro de la página, sí así se desea. Quien ingrese al sitio no verá el número sino sólo en enlace.
La herramienta es muy utilizada y sin dudas puede resultar de utilidad, el punto es evitar que figure el número telefónico en las búsquedas. Esto se soluciona utilizando el comando “no index” en el archivo robots.txt, según explicó el especialista Jayaram. Y de hecho así fue como se resolvió este inconveniente. Según mencionan desde Xataka, WhatsApp introdujo la instrucción “no index” en la etiqueta ‘meta names robots’ de las páginas con las que se comparten los contactos.
En relación a este inconveniente, desde el portal replican la siguiente respuesta de WhatsApp: “Nuestra función clic para chatear, que permite a los usuarios crear una URL con su número de teléfono para que cualquiera pueda enviarles mensajes fácilmente, es utilizada ampliamente por pequeñas y microempresas de todo el mundo para conectarse con sus clientes”.
“Todos los usuarios de WhatsApp, incluidas las empresas, pueden bloquear mensajes no deseados con solo tocar un botón”.
Más allá de que esto sea cierto, queda claro que, para minimizar riesgos a futuro, haya que pensar dos vece antes de utilizar la herramienta “clic para chatear”. Por otra parte, este incidente recuerda que nada es infalible y los datos pueden siempre filtrarse de algún u otro modo. Y más allá de que las fallas se vulneren, nadie sabe si, durante el tiempo que la información estuvo visible, esos números ya no fueron recopilados por ciberdelincuentes que pueden utilizar los números para enviar spam u orquestar algún tipo de engaño.
