Al instalar una aplicación de mensajería móvil como WhatsApp, los nuevos usuarios pueden empezar a enviar instantáneamente mensajes de texto a los contactos existentes basándose en los números de teléfono almacenados en su dispositivo. Para ello, los usuarios deben conceder a la aplicación permiso para acceder y subir regularmente su libreta de direcciones a los servidores de la empresa en un proceso llamado descubrimiento de contactos móviles. Un estudio reciente realizado por un equipo de investigadores del Grupo de Sistemas de Software Seguro de la Universidad de Würzburg y del Grupo de Ingeniería de Criptografía y Privacidad de la Universidad Técnica de Darmstadt muestra que los servicios de descubrimiento de contactos actualmente desplegados amenazan gravemente la privacidad de miles de millones de usuarios. Utilizando muy pocos recursos, los investigadores pudieron realizar prácticos ataques de rastreo a los populares servicios de mensajería WhatsApp, Signal y Telegram. Los resultados de los experimentos demuestran que los usuarios malintencionados o los hackers pueden recopilar datos confidenciales a gran escala y sin restricciones dignas de mención, consultando a los servicios de descubrimiento de contactos para obtener números de teléfono al azar. Para el extenso estudio, los investigadores consultaron el 10% de todos los números de teléfono móvil de EE.UU. para WhatsApp y el 100% para Signal. De este modo, pudieron recopilar (meta) datos personales comúnmente almacenados en los perfiles de usuario de las aplicaciones, incluyendo fotos de perfil, apodos, textos de estado y la hora de "última conexión". Los datos analizados también revelan estadísticas interesantes sobre el comportamiento de los usuarios. Por ejemplo, muy pocos usuarios cambian la configuración de privacidad predeterminada, que para la mayoría de los servicios de mensajería no es nada fácil de usar. Los investigadores encontraron que alrededor del 50% de los usuarios de WhatsApp en los EE.UU. tienen una foto de perfil público y el 90% un texto público "Acerca de". Curiosamente, el 40% de los usuarios de Signal, que se puede suponer que están más preocupados por la privacidad en general, también utilizan WhatsApp, y todos los demás usuarios de Signal tienen una foto de perfil público en WhatsApp. El seguimiento de estos datos a lo largo del tiempo permite a los atacantes crear modelos de comportamiento precisos. Cuando los datos se comparan en las redes sociales y las fuentes de datos públicas, los terceros también pueden crear perfiles detallados, por ejemplo para estafar a los usuarios. En el caso de Telegram, los investigadores descubrieron que su servicio de descubrimiento de contactos expone información confidencial incluso sobre los propietarios de números de teléfono que no están registrados en el servicio. La información que se revela durante el descubrimiento de un contacto y que se puede recopilar mediante ataques de rastreo depende del proveedor de servicios y de la configuración de privacidad del usuario. WhatsApp y Telegram, por ejemplo, transmiten toda la libreta de direcciones del usuario a sus servidores. Los servicios de mensajería más preocupados por la privacidad, como Signal, solo transfieren valores de hash criptográficos cortos de números de teléfono o dependen de hardware de confianza. Sin embargo, el equipo de investigación muestra que con las nuevas y optimizadas estrategias de ataque, la baja entropía de los números de teléfono permite a los atacantes deducir los números de teléfono correspondientes a partir de los hashes criptográficos en milisegundos. Además, como no hay restricciones dignas de mención para suscribirse a los servicios de mensajería, cualquier tercero puede crear un gran número de cuentas para rastrear la base de datos de usuarios de un servicio de mensajería en busca de información, solicitando datos para números de teléfono aleatorios. "Recomendamos encarecidamente a todos los usuarios de aplicaciones de mensajería que revisen sus configuraciones de privacidad. Esta es actualmente la protección más efectiva contra nuestros investigados ataques de rastreo", coinciden la Prof. Alexandra Dmitrienko (Universidad de Würzburg) y el Prof. Thomas Schneider (Universidad Técnica de Darmstadt). El equipo de investigación comunicó sus conclusiones a los respectivos proveedores de servicios. Como resultado, WhatsApp ha mejorado sus mecanismos de protección de forma que se puedan detectar los ataques a gran escala, y Signal ha reducido el número de posibles consultas para complicar el rastreo. Los investigadores también propusieron muchas otras técnicas de mitigación, incluyendo un nuevo método de descubrimiento de contactos que podría adoptarse para reducir aún más la eficiencia de los ataques sin afectar negativamente a la usabilidad. (Fuente: NCYT Amazings