Meta anunció el martes que lanzaría una herramienta llamada ” Proxy de investigación de WhatsApp a algunos de sus investigadores de recompensas de errores desde hace mucho tiempo para mejorar el programa e investigar de manera más efectiva el protocolo de red de la plataforma de mensajería.
La idea es facilitar el inicio de tecnologías específicas de WhatsApp, ya que la aplicación sigue siendo una superficie de ataque lucrativa para actores patrocinados por el estado y proveedores comerciales de software espía.
La compañía también señaló que está lanzando una iniciativa piloto en la que invita a equipos de investigación a centrarse en el abuso de la plataforma, con el apoyo de herramientas e ingeniería internas. “Nuestro objetivo es reducir la barrera de entrada para que los académicos y otros investigadores que no estén tan familiarizados con las recompensas por errores participen en nuestro programa”, continúa.
El avance se produce después de que el gigante de las redes sociales dijera que ha pagado más de 25 millones de dólares en recompensas por errores a más de 1.400 investigadores de 88 países durante los últimos 15 años, con más de 4 millones de dólares pagados por casi 800 informes válidos sólo este año. En total, Meta dijo que recibió alrededor de 13.000 presentaciones.
Los descubrimientos de errores notables incluyeron un error de validación incompleta en WhatsApp anterior a v2.25.23.73, WhatsApp Business para iOS v2.25.23.82 y WhatsApp para Mac v2.25.23.83, que podría haber permitido a un usuario activar el procesamiento de contenido recuperado de una URL arbitraria en el dispositivo de otro usuario. No hay evidencia de que el problema haya sido explotado en la naturaleza.
Meta también lanzó un parche a nivel de sistema operativo para mitigar el riesgo de una vulnerabilidad rastreada como CVE-2025-59489 (puntaje CVSS: 8.4), que podría haber permitido que aplicaciones maliciosas instaladas en dispositivos Quest manipularan aplicaciones Unity para lograr la ejecución de código arbitrario. El investigador de Flatt Security, RyotaK, fue reconocido por descubrir e informar el error.
Una simple vulnerabilidad de WhatsApp expone 3.500 millones de números de teléfono
Finalmente, Meta anunció que se agregaron protecciones anti-scraping a WhatsApp después de que un informe describiera un método novedoso para enumerar exhaustivamente las cuentas de WhatsApp en 245 países y crear un conjunto de datos que incluya a todos los usuarios, evitando las limitaciones de velocidad del servicio. WhatsApp tiene alrededor de 3.500 millones de usuarios activos.
El ataque explota una función legítima de descubrimiento de contactos de WhatsApp que requiere que los usuarios determinen primero si sus contactos están registrados en la plataforma. Básicamente, permite a un atacante recopilar información básica disponible públicamente, junto con sus fotos de perfil, textos informativos y marcas de tiempo asociadas con actualizaciones importantes relacionadas con los dos atributos. Meta dijo que no encontró evidencia de que alguna vez se haya abusado de este vector en un contexto malicioso.
Curiosamente, el estudio encontró que millones de números de teléfono están registrados en países donde WhatsApp está oficialmente prohibido, incluidos 2,3 millones en China y 1,6 millones en Myanmar.
“Normalmente, un sistema no debería responder a un número tan elevado de solicitudes en tan poco tiempo, especialmente si provienen de una sola fuente”, afirma Gabriel Gegenhuber, investigador de la Universidad de Viena y autor principal del estudio. “Este comportamiento expuso la falla subyacente que nos permitió realizar solicitudes prácticamente ilimitadas al servidor, mapeando así los datos de los usuarios en todo el mundo”.
“Ya habíamos trabajado en sistemas anti-scraping líderes en la industria, y este estudio fue fundamental para realizar pruebas de estrés y confirmar la efectividad inmediata de estas nuevas defensas”, dijo Nitin Gupta, vicepresidente de ingeniería de WhatsApp, en una declaración a The Hacker News.
“Es importante destacar que los investigadores eliminaron de forma segura los datos recopilados como parte del estudio y no encontramos evidencia de que actores maliciosos abusaran de este vector. Como recordatorio, los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado estándar de extremo a extremo de WhatsApp, y los investigadores no tuvieron acceso a datos no públicos”.
A principios de este año, Gegenhuber et al. También presentó otro estudio, “Careless Whisper”, que demostró que los recibos de entrega pueden representar un riesgo significativo para la privacidad de los usuarios al permitir que un atacante envíe mensajes especialmente diseñados que pueden activar recibos de entrega y extraer su estado de actividad sin su conocimiento o consentimiento.
“Al utilizar esta técnica con alta frecuencia, mostramos cómo un atacante puede extraer información privada, por ejemplo, siguiendo a un usuario a través de diferentes dispositivos complementarios, infiriendo su rutina diaria o infiriendo sus actividades actuales”, señalaron los investigadores.
“Además, podemos inferir el número de sesiones de usuario actualmente activas (es decir, dispositivos principales y complementarios) y su sistema operativo, así como lanzar ataques de agotamiento de recursos, como agotar la batería o el volumen de datos de un usuario, sin generar una notificación en la página de destino”.
(La historia se actualizó después de la publicación para incluir una respuesta de WhatsApp y aclarar que Unity parchó y lanzó CVE-2025-59489).
About The Author
