Al menos 4.000 grupos de WhatsApp fueron publicados en Google de manera visible sin que los administradores se diesen cuenta de ello. Los ciberdelincuentes aprovecharon la ocasión para colarse en los chats grupales y utilizar técnicas de phishing para engañar a los usuarios.

Se desconoce desde cuándo estuvo operativo este fallo de seguridad. En el El País creen que al menos varios meses, tiempo más que suficiente para los que los ciberdelincuentes pudieran actuar con libre albedrío en los grupos de usuarios. WhatsApp, por su parte, confirmó que el problema se solventó el pasado marzo del 2020 con la inclusión de una etiqueta noindex.

Esta podría ser la causante de la brecha de seguridad. Un fallo humano del propio equipo de desarrollo de WhatsApp al no incluir una instrucción que impidiera indexar las direcciones de los chats. Sin esta orden, los rastreadores automáticos de Google recopilan y publican todos los enlaces que encuentra en su búsqueda haciéndolos accesibles para cualquier usuario.

Es la tercera vez que ocurre en apenas tres años, a pesar de que WhatsApp afirmó que este problema ya había sido solventado.

El profesor Vázquez Poletti del departamento de Arquitectura de Computadores y Automática de la Universidad Complutense de Madrid (UCM), afirmó que "es posible que las últimas actualizaciones de WhatsApp fueran desarrolladas por un equipo distinto del original y por eso determinados aspectos de la configuración no se han tenido en cuenta". Continuó añadiendo que "ese ha podido ser el error porque cuando heredas un proyecto de otra persona, por mucha documentación que exista, no tienes una visión global".

Posibles ataques 'phishing' a WhatsApp

spear phishing
Phishing warning por Christiaan Colen, bajo licencia CC BY SA 2.0

El phishing consiste en suplantar la identidad de una persona, negocio o servicio para hacer creer a la víctima que se encuentra ante una identidad legítima. Se suelen camuflar en direcciones de correos electrónicos similares a las originales o con dominios que puedan causar confusión del atacante.

Su principal función es el robo de información. Desde correos electrónicos, datos sensibles e incluso los datos de tarjetas bancarias. Los ciberdelincuentes podrían haberse introducido en diferentes chats grupales de WhatsApp publicados en Google para fijar su objetivo en el robo de información.

Para no levantar sospechas de los administradores o los propios usuarios de los grupos, los ciberdelincuentes interactuaban de una manera discreta. Una vez establecidos, de vez en cuando enviaban códigos maliciosos para engañar a sus víctimas y así conseguir sus propósitos.