Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
1811
)
-
▼
noviembre
(Total:
142
)
-
Desmantelada en Barcelona una red de estafadores q...
-
ChatGPT copia a Google y restringe uso límite diar...
-
En 2019 un hombre estafó 122 millones de dólares a...
-
AV Linux 25 llega con base MX Linux 25 y Debian 13...
-
Guía de Pruebas de IA de OWASP v1
-
Harvard sufre filtración de datos tras ataque por ...
-
Filtración de datos de Integra Energía expone los ...
-
RelayNFC: nuevo malware de retransmisión NFC
-
Steam y Riot Games reciben ataques DDoS masivos de...
-
Cómo usar ChatGPT (u otros LLM) con una API y paga...
-
OpenAI, creadora de ChatGPT, informa de una brecha...
-
Tutorial FFMpeg: ejemplos comandos para convertir ...
-
Una IA ya programa mejor que los ingenieros humano...
-
Una contraseña de la DGT ha sido expuesta en Infor...
-
HP despedirá a hasta 6.000 trabajadores por el imp...
-
ChatGPT vs Gemini vs Copilot: comparativa de las m...
-
Red Hat Enterprise Linux 10.1 refuerza su apuesta ...
-
Casco de moto con realidad aumentada
-
Meta expulsa a ChatGPT y Copilot en WhatsApp
-
Xiaomi Poco F8 Pro y F8 Ultra, que refuerzan la ga...
-
Ya disponible Memtest86+ 8.0, ideal para probar me...
-
La IA revienta el mercado de las memorias: todo su...
-
Perplexity presenta compras con IA y pagos por PayPal
-
El peligro de los ataques ClickFix
-
Aluminum OS: el Sistema Operativo de Google basado...
-
Vert es un convertidor ficheros texto, audio y víd...
-
Zorin OS 18 alcanza un millón de descargas
-
Exploit PoC para una vulnerabilidad en 7-Zip (CVE-...
-
El Ministerio y la Guardia Civil investigan el cib...
-
Whisperleak: nuevo ataque de canal lateral que rob...
-
Fortinet lanza un parche urgente que corrige un fa...
-
EchoGram: Nueva técnica burla las defensas de LLMs...
-
El primer procesador no fue el Intel 4004: el MP94...
-
Google Nano Banana Pro: la IA para generar imágene...
-
Windows 1 cumple 40 años
-
Gemini 3 vs ChatGPT 5.1 vs Claude 4.5: cuál es la ...
-
Meta supera el juicio antimonopolio y no tendrá qu...
-
Vulnerabilidad en WhatsApp expone 3,500 millones d...
-
Zero-Day explotado activamente en Google Chrome V8
-
Apple: «Las vibraciones de motocicleta pueden daña...
-
Filtradas las gafas inteligentes de Samsung con An...
-
Meta presenta una IA que convierte cualquier perso...
-
OpenAI presenta GPT-5.1-Codex-Max, la IA que progr...
-
Telefónica es excluida de un concurso público por ...
-
Un juzgado condena a Meta a indemnizar con 479M a ...
-
Ejemplos y funcionamiento avanzado de la API de Ol...
-
Instalar y configurar Ollama (servidor Local para ...
-
Xania Monet; una IA firma un contrato discográfico...
-
Aquellos maravillosos relojes digitales Casio de p...
-
Microsoft anuncia nuevas herramientas para recuper...
-
La app preinstalada AppCloud en móviles Samsung Ga...
-
Taiwán alerta sobre riesgos de las aplicaciones ch...
-
Google presenta Gemini 3, su modelo de IA más inte...
-
Anthropic firma un acuerdo con Microsoft y Nvidia:...
-
China muestra el ejército de robots humanoides
-
Microsoft se carga el sistema de activación KMS38 ...
-
Canonical extiende el soporte de Ubuntu LTS hasta ...
-
"Cobrábamos 100$ al mes por una IA que en realidad...
-
Amazon Leo: el rival de Starlink ofrecerá una cone...
-
Un problema en CloudFlare deja sin funcionar a med...
-
Cómo integar la API de Ollama con Moodle para usar...
-
Anything LLM: Una herramienta todo en uno para IA
-
HydraPWK: distribución Linux para pruebas de pente...
-
Google alerta del uso masivo de la IA con fines ma...
-
NVMe Destroyinator: una máquina para eliminar dato...
-
Clonan voces de empleados para hackear empresas
-
No, las computadoras cuánticas no robarán tus bitc...
-
Logitech confirma el robo de datos tras un ataque ...
-
Alternativas a ChatGPT y Gemini sin límites: las m...
-
Alemania presenta la supercomputadora Otus: más de...
-
Un grupo chino protagoniza el primer ciberataque c...
-
China acusa a EE. UU. por hackeo millonario de Bit...
-
Operación Endgame S03: desmantela Rhadamanthys, Ve...
-
Windows 11 integra soporte nativo para 1Password y...
-
Amazon elimina las aplicaciones pirata de sus Fire...
-
Google NotebookLM añade un «modo investigador»
-
Xiaomi, la marca de móviles, ya vende más coches q...
-
Audio Overviews en Google Drive convierte PDF en a...
-
OpenAI pesenta GPT-5.1: un asistente "más cálido y...
-
LibreOffice arremete contra Microsoft Office y su ...
-
Hackean la compañía aérea Iberia y venden 77GB dat...
-
El autor de 'Juego de Tronos' pidió a ChatGPT que ...
-
La Unión Europea acuerda poner una tasa aduanera a...
-
¿Por qué los disquetes solían tener exactamente 1,...
-
Google Maps estrena guiado de carril con realidad ...
-
Google te avisará de las aplicaciones que consumen...
-
Valve presenta Steam Machine, un PC de tamaño comp...
-
Firefox mejora tu privacidad: bloquea el fingerpri...
-
Nvidia niega inversión financiera en Nuevo León tr...
-
Kaspersky para Linux: el veterano antivirus llega ...
-
Anthropic, el rival de OpenAI, invertirá 50.000 mi...
-
Cybersecurity AI (CAI): framework para automatizar...
-
Google presenta su propia tecnología de computació...
-
Red Hat anuncia un programa de soporte exclusivo p...
-
BTF3: un solo conector para todo: así funciona el ...
-
Anthropic es la la más rentable, a diferencia de O...
-
La unidad flash USB-C de 1 TB más pequeña del mundo
-
Ookla Speedtest Pulse: ahora puedes medir tu veloc...
-
BreachParty hackea a ING y Santander, filtrando da...
-
Tarjeta gráfica Asus ROG Astral con refrigeración ...
-
- ► septiembre (Total: 148 )
-
▼
noviembre
(Total:
142
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
En una campaña que se intensifica y que apunta a la infraestructura de acceso remoto, actores de amenazas han iniciado intentos de explotaci... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Hispasat abandona su proyecto para competir con Starlink en España, tras no conseguir el interés de las operadoras; el plan era ofrecer in...
Vulnerabilidad en WhatsApp expone 3,500 millones de teléfonos de usuarios
WhatsApp, con 3.500 millones de cuentas activas a principios de 2025, es la plataforma de mensajería instantánea más grande del mundo. Dada su enorme base de usuarios, WhatsApp desempeña un papel fundamental en la comunicación global.
Expuestos los números de los 3.500 millones de usuarios de WhatsAPp
- Investigadores de la Universidad de Viena han logrado enumerar prácticamente todo el directorio de WhatsApp aprovechando la búsqueda de contactos.
Para iniciar conversaciones, los usuarios primero deben averiguar si sus contactos están registrados en la plataforma. Esto se logra consultando los servidores de WhatsApp con los números de teléfono móvil extraídos de la libreta de direcciones del usuario (si este ha permitido el acceso).
Qué datos quedaron expuestos
- Números de teléfono: El dato básico, pero también el más sensible: un identificador personal único y persistente.
- Fotos de perfil y mensajes 'info': El 57% de los usuarios tenía su foto visible a cualquier desconocido, y un 29% mostraba texto público con información personal —a veces extremadamente delicada— como afiliaciones religiosas, políticas o incluso enlaces a redes como Tinder u OnlyFans. Sólo en Norteamérica, la descarga de fotos visibles supuso 3.8 terabytes de imágenes. En un muestreo, dos tercios contenían rostros reconocibles mediante algoritmos de reconocimiento facial.
- Claves criptográficas y metadatos técnicos: De forma inesperada, los investigadores accedieron también a claves públicas utilizadas para el cifrado de extremo a extremo. No se comprometieron mensajes, pero sí se identificaron 2.9 millones de casos de reutilización de claves (un grave problema de seguridad).
- Información sobre dispositivos vinculados: WhatsApp revelaba cuántos dispositivos tenía asociada cada cuenta, un dato que puede sugerir hábitos de uso o prácticas sospechosas (como el uso múltiple en redes de spam) .
Esta arquitectura permite inherentemente la enumeración de números de teléfono, ya que el servicio debe permitir a los usuarios legítimos consultar la disponibilidad de sus contactos. Si bien la limitación de la velocidad de las consultas es una defensa estándar contra el abuso, en la investigación, "Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy", los investigadores de la Universidad de Viena, revisaron el problema y demostraron que WhatsApp sigue siendo altamente vulnerable a la enumeración a gran escala.
En el estudio, pudieron sondear más de cien millones de números de teléfono por hora sin encontrar bloqueos ni limitaciones de velocidad efectivas.
Los hallazgos demuestran no solo la persistencia, sino también la gravedad de esta vulnerabilidad. Demostraron, además, que casi la mitad de los números de teléfono expuestos en la filtración de datos de Facebook de 2021 siguen activos en WhatsApp, lo que subraya los riesgos persistentes asociados a este tipo de filtraciones.
Asimismo, pudieron realizar un censo de usuarios de WhatsApp, lo que permitió vislumbrar la información macroscópica que un servicio de mensajería de gran envergadura puede generar, incluso con el cifrado de extremo a extremo de los mensajes.
Con los datos recopilados, también descubrieron la reutilización de ciertas claves X25519 en diferentes dispositivos y números de teléfono, lo que indica implementaciones inseguras (personalizadas) o actividad fraudulenta.
En el artículo también ofrecen información sobre el proceso de remediación colaborativa mediante el cual confirmaron que se había resuelto el problema subyacente de limitación de velocidad.
Fuente: Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy"
La clave del problema está en una función que usamos todos a diario: la búsqueda de contactos. WhatsApp comprueba si un número está registrado en el servicio y, si lo está, muestra parte de su ficha de perfil. Los investigadores consiguieron automatizar este proceso a gran escala en la versión web de la app, enviando decenas de miles de millones de números generados de forma realista y verificando más de 100 millones de teléfonos por hora, sin toparse con límites efectivos. El resultado: un mapa global de 3.500 millones de cuentas repartidas por 245 países.
Un listín telefónico global
Su estudio, que se presentará en 2026, detalla que el experimento se desarrolló entre diciembre de 2024 y abril de 2025. En ese tiempo, no solo confirmaron qué números estaban vinculados a WhatsApp, sino que también recopilaron las fotos de perfil y los textos ‘Info’ que los usuarios habían dejado en abierto, además de las claves públicas utilizadas para el cifrado de extremo a extremo. Los propios autores hablan de la “mayor exposición de números de teléfono y datos asociados jamás documentada”.
Meta, empresa matriz de WhatsApp, asegura que fue alertada en abril y que aplicó nuevas medidas de limitación de peticiones en octubre de 2025, cerrando la puerta a este tipo de enumeración masiva. También sostiene que no hay pruebas de que actores maliciosos hayan explotado la vulnerabilidad, y recalca que los mensajes privados han seguido protegidos por cifrado de extremo a extremo en todo momento. Para la compañía, los datos expuestos son “información básica de carácter público” que ya estaba visible para quien tuviera tu número y tú no hubieras restringido la privacidad.
Los investigadores, sin embargo, subrayan que no hacía falta ser un superhacker para aprovechar el fallo: bastaba con escalar un comportamiento normal de usuario, añadir contactos y ver si están en la app, hasta niveles industriales. Y el impacto potencial es evidente. Con un directorio de 3.500 millones de números y perfiles asociados, resulta mucho más sencillo montar campañas masivas de spam y phishing, identificar posibles objetivos de estafas o vigilar a usuarios en países donde WhatsApp está prohibido, como China o Myanmar, donde el estudio detecta millones de cuentas activas.
Un riesgo desigual según el país
Los datos permitieron construir un mapa detallado del uso global de WhatsApp. Entre los hallazgos más llamativos:
- India: 749 millones de cuentas; el 62% mostraba foto pública.
- Brasil: 206 millones; 61% con foto visible.
- Estados Unidos: 137 millones; 44% con foto y 33% con texto público.
- Irán: 60 millones pese a la prohibición vigente de la app, un riesgo enorme para los usuarios si el Estado hubiese accedido a la información.
- China: 2,3 millones de cuentas pese a la prohibición oficial que impera también en China respecto a la app de Meta.
Una crisis de privacidad estructural
Los investigadores señalan que la raíz del problema no es solo la ausencia de límites de consulta, sino el propio uso del número de teléfono como identificador universal. Los números telefónicos:
- son fáciles de enumerar,
- siguen patrones conocidos por país,
- no están diseñados para servir como credenciales secretas.
Por tanto, cualquier plataforma basada en ellos queda expuesta a ataques de enumeración masiva. Sin un ritmo de consulta extremadamente limitado, la privacidad depende más de la opacidad por volumen que de la seguridad real. WhatsApp parece haber tomado nota: ya ha empezado a testear un sistema de nombres de usuario, que podría reducir esta dependencia del número telefónico.
La respuesta de Meta: ocho años tarde
El primer aviso documentado sobre esta vulnerabilidad se remonta a 2017, cuando un investigador independiente ya demostró la posibilidad de enumerar números y perfiles. Meta respondió entonces que la aplicación funcionaba 'según lo diseñado' y no consideró el hallazgo como un error remunerable en su programa de recompensas. En 2024 y 2025 los avisos se multiplicaron, pero Meta no actuó hasta que la publicación del estudio era inminente.
Finalmente, en octubre de 2025 implementó una limitación del ritmo de consultas que bloquea la automatización a gran escala. La compañía, sin embargo, insiste en que:
- toda la información expuesta era 'pública',
- no hay pruebas de que actores maliciosos explotaran el fallo,
- y los mensajes siempre permanecieron cifrados.
Los investigadores, por su parte, afirman que no encontraron defensa alguna durante la extracción y que no está garantizado que otros actores no hayan realizado la misma operación en los años previos.
El origen del problema: Contact Discovery + ausencia de rate-limiting
WhatsApp utiliza un mecanismo aparentemente inocuo: cuando instalas la app, sube un hash de tu agenda para comprobar qué números existen en su base de datos. Este sistema es antiguo, simple y compatible con su arquitectura distribuida… pero extremadamente sensible si no tiene una protección robusta contra abusos.
Lo que descubrieron los investigadores es que el backend de WhatsApp permitía realizar consultas arbitrarias de números sin imponer limitaciones reales de velocidad (rate limiting), volumen, origen y correlación de actividad.
Resultado: con un único servidor barato podían consultar más de 100 millones de números por hora. No se trata de reverse engineering del cliente o explotación de un bug local: es un fallo de diseño del servidor.
Fuentes:
https://blog.segu-info.com.ar/2025/11/whatsapp-enumeradas-tres-mil-millones.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.