Seguridad

Whatsapp INT: Cómo buscar (y encontrar) números de teléfono, mensajes y fotografías a través de los Enlaces Universales

Los enlaces universales de Whatsapp permiten el envío de mensajes directos a los usuarios sin la necesidad de que el destinatario del mensaje tenga que estar en la lista de contactos del dispositivo que utiliza este servicio para el envío de mensajes. Basta proporcionar el número de teléfono para que el servicio de Whatsapp envíe el mensaje al destinatario y éste lo reciba directamente en la app de Whatsapp

Figura 1: Whatsapp INT: Cómo buscar (y encontrar) números de
teléfono, mensajes y fotografías a través de los Enlaces Universales

Es habitual encontrarse esta forma de envío de mensajes en aplicaciones de mensajería o negocios para recibir mensajes de potenciales clientes. Por el contrario, desde el punto de vista de la seguridad y privacidad de los usuarios, presenta la desventaja de dejar al descubierto datos de carácter personal, como números de teléfono, mensajes enviados o la fotografía de perfil de los usuarios.
Nuevo libro de Luis Márquez en 0xWord.
Esto es parte de las técnicas WhatsApp INTelligence: OSINT en WhatsApp, de las que Luis Márquez escribió un libro en 0xWord que podéis compraros y leer, y de las que Chema Alonso habla muchas veces, como esta que tenéis por aquí que impartió en Osintomático 2022 «WhatsApp Intelligence: Jugando con Leaks» y la continuación en OpenExpo Europe 2022 titulada: «(WEB) ScrAPIficar & Weaponizar WhatsApp» que os dejo aquí:
Y de esto vamos a hablar en el artículo de hoy, donde vamos a ver cómo encontrar las Fugas de Información por culpa de los Enlaces Universales de WhatsApp, y que seguro que te son de utilidad en alguna investigación.


Enlaces universales de Whatsapp

Los enlaces universales son un método muy utilizado por las apps para enviar un mensaje a una cuenta de WhatsApp. Realizan una petición de la forma:

  • https://wa.me/número?text=mensaje

Donde número es un número de teléfono completo en formato internacional y mensaje es el mensaje a enviar. Un ejemplo de inclusión de un mensaje es el siguiente:

  • https://api.whatsapp.com/send/?phone=34612345678&text=Quedamos+Luis
Whatsapp permite también la creación de enlaces universales realizando peticiones a través de su API de la forma:
  • https://api.Whatsapp.com/send?phone=número&text=mensaje
Donde número es el número de teléfono en formato internacional y mensaje el texto que se quiere enviar.

Figura 4: Mensaje enviado utilizando los enlaces universales de Whatsapp.


En las siguientes imágenes se puede ver un ejemplo de envío y recepción de un mensaje haciendo uso de los enlaces universales de Whatsapp.

Figura 5: Mensaje recibido a través de los enlaces universales de Whatsapp.

Dado que los enlaces universales que WhatsApp proporciona para una comunicación más sencilla y eficaz, no dejan de ser URLs, lo que puede llevar a que sean indexadas y se conviertan en fugas de información.

Fugas de información en los servicios de Whatsapp a través de los Enlaces Universales
En los dispositivos Android existe el riesgo de que la app utilice los enlaces universales junto al buscador Google Chrome y éste registre la actividad de uso de los enlaces universales. 

Figura 6: Configuración por defecto que permite a Google registrar
toda la actividad que hace en la web a través de un dispositivo.
Debido a que Google registra toda la actividad que se realiza en la web a través de un dispositivo para optimizar las búsquedas de los usuarios, la probabilidad de que Google recabe la información de los enlaces universales es muy alta. 


Obtención de los números de teléfono de los destinatarios de los mensajes

Haciendo un poco de Hacking con Buscadores en Google, sobre los enlaces universales (wa.me y api.Whatsapp.com) y usuarios de España (prefijo 34), el buscador devuelve resultados en los que se aprecian números de teléfonos de los destinatarios de los mensajes, como se muestra en las siguientes imágenes.

Figura 7: Fugas de información de teléfonos de usuarios
españoles de Whatsapp presentes en Google.
Algunos son números públicos de empresas que utilizan WhatsApp como fuente de información, pero veréis que también hay muchos de particulares.

Figura 8: Fugas de información de teléfonos de usuarios
españoles de Whatsapp presentes en Google.

Obtención de los mensajes y números de teléfono de los destinatarios

Realizando un poco de Hacking con Buscadores en Google para tratar de obtener los mensajes enviados a usuarios de España, el buscador también devuelve resultados en los que es posible conocer los mensajes de texto y a quiénes han sido enviados.

Figura 9: Fugas de información de mensajes y números de
teléfono de usuarios españoles de Whatsapp presentes en Google.
Esto es porque algunos de estos mensajes están pre-configurados en webs de negocios, de servicios online, o plataformas webs que permiten crear estas URLs para interactuar con WhatsApp desde dentro del servicio o app.


Obtención de las fotografías de los perfiles de Whatsapp de los destinatarios de los mensajes.

Existen destinatarios de los mensajes que en su perfil de Whatsapp utilizan su fotografía personal visible para cualquier usuario que conozca su número de teléfono. Como se ha comentado, una de las ventajas de utilizar los enlaces universales de Whatsapp es precisamente que el remitente de los mensajes no tiene que estar registrado en la agenda de contactos.

Figura 10: Fotografía personal y nçumero de teléfono
de uno de los destinatarios de un mensaje.
Cualquier usuario conozca el funcionamiento de los enlaces universales, sólo tiene que poner en ellos el teléfono de un destinatario para que Whatsapp le muestre la información vinculada a su perfil, como su fotografía personal, si es que el destinatario ha sido poco cuidadoso con su privacidad y tiene visible su perfil para todo el mundo.


Los números de teléfono personales son datos de carácter personal.

Según la Ley de Protección de Datos (LPD), son “datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables”. Se considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social. 


Una persona puede ser identificada directamente por su nombre y apellidos o indirectamente por un número de teléfono, una matrícula de un coche, un número de la Seguridad Social, y una dirección de correo electrónico.  El número del documento nacional de identificación (DNI) o el número del pasaporte son, por tanto, datos de carácter personal.

Con los números de teléfono hay que diferenciar si son profesionales o personales, pero como hemos visto en este caso con estas URLs, al igual que ya vimos en el pasado con las URLS de las Invitaciones a los Grupos de WhatsApp que descubrían tanto los grupos como los datos de las personas enloradas en ellos, hay que tener un cuidado especial

Los números de teléfonos profesionales o de empresa quedan excluidos del alcance de la Ley de Protección de Datos, mientras que los segundos encajan perfectamente en la definición de dato de carácter personal, y en particular, los números de los dispositivos móviles. El uso de los dispositivos móviles, que asignan un dispositivo a un titular, hace que el número del dispositivo móvil hagan a una persona identificada o identificable.

Cómo solucionar las Fugas de Información en el servicio de Whatsapp.

Dado que las fugas de información presentadas en este artículo se producen por el envío de datos de carácter personal y sensibles como parámetros de la URL utilizando el método GET de HTTP y la posterior indexación de los mismos por parte de los buscadores, lo primero sería enviar los parámetros por POST y no por GET.

En segundo lugar habría que tratar el problema de la indexación de Whatsapp. Algunos podrían pensar que con poner en los ficheros https://wa.me/robots.txt y https://api.Whatsapp.com/robots.txt las líneas Disallow: /send?phone=, Disallow: /send?text= podría impedir a Google y a cualquier buscador añadir la información personal de los usuarios de Whatsapp que reciban información a través de los enlaces universales, pero por desgracia no es así.

Figura 14: Mensaje en el fichero “api.Whatsapp.com/robots.txt”
para advertir no recoger de manera automatizada datos de Whatsapp.
Si nos fijamos en el contenido de los ficheros anteriores, incluyen el siguiente aviso: “Prohibida la recopilación de datos en WhatsApp a través de medios automatizados”. Resulta curioso que Whatsapp realice esta advertencia y Google almacene los datos de los usuarios utilizados por Whatsapp, pero es que los servicios de indexación son un caos. 
En el año 2017 Chema Alonso advirtió de más de 79.000 URLs indexadas de Gmail en Google y Bing en su charla «No me Indexes que me cacheo» y la respuesta de Google fue la que podéis ver en la imagen: «Si Google consigue la URL de un sitio por un enlace en otro lugar, entonces no afecta Robots.txt», que es lo que sucede aquí. WhatsApp ha prohibido la indexación, pero Google ha encontrado las URLs por otro sitio.

La única solución que le quedaría a Whatsapp sería eliminar esas URLs una a una pidiéndoselo a los buscadores, pero es sin duda, una medida ineficaz porque algunas empresas quieren que su dirección de contacto vía WhatsApp se indexe. Es un problema en el que tanto Google, como el usuarios, como el sitio como WhatsApp deben hacer el trabajo.
Saludos,

Autor: Amador Aparicio, CISO (Chief Information Security Officer) de la empresa Zunderescritor de los libros “Raspberry Pi para Hackers & Makers: PoCs & Hacks Just for Fun!” y «Hacking Web Technologies 2ª Edición»  y Miembro del Grupo de Investigación en Ingeniería de la Privacidad del Departamento de Informática de la Universidad de Valladolid.


Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.