Al menos 4.000 grupos de WhatsApp fueron publicados en el motor de busqueda de manera visible sin que los administradores se diesen cuenta de ello. Los ciberdelincuentes aprovecharon la ocasión para colarse en los chats grupales y utilizar técnicas de phishing para engañar a los usuarios.
Se desconoce desde cuándo está el fallo de seguridad. Los rumores dicen que desde hace varios meses, tiempo más que suficiente para los que los delincuentes pudieran actuar con libre albedrío en los grupos de usuarios. WhatsApp, por su parte, confirmó que el problema se solventó el pasado marzo del 2020 con la inclusión de una etiqueta noindex.
En un principio, el hecho de que los números de teléfono de usuarios de WhatsApp apareciesen en Google se asociaba a la función “Click To Chat” integrada en el servicio de mensajería. Tras descubrirse la brecha, WhatsApp aseguró que no se trataba de un problema de seguridad, pero aún así decidió poner una solución que evitase que los números fueran indexados por el buscador.
Sin embargo, todo apunta a que la solución de WhatsApp no ha surtido efecto. El investigador Rajashekhar Rajaharia indica que, aunque WhatsApp utiliza archivos de instrucción automatizados destinados a evitar que Google indexe estos datos, el buscador estaría guardando los números de teléfono y mostrándolos en sus búsquedas.
Además de eso, indica que WhatsApp ni siquiera esta monitorizando el contenido que Google indexa, de modo que este tipo de datos privados están en Internet hasta que alguien dé con ellos, y con un poco de suerte, reporte el fallo a la compañía para que solucione la brecha de seguridad presente en la aplicación.
Este problema es la tercera vez que ocurre en apenas tres años, a pesar de que WhatsApp afirmó que ya lo había solucionado.
El profesor Vázquez Poletti del departamento de Arquitectura de Computadores y Automática de la Universidad Complutense de Madrid (UCM), afirmó que "es posible que las últimas actualizaciones de WhatsApp fueran desarrolladas por un equipo distinto del original y por eso determinados aspectos de la configuración no se han tenido en cuenta". Continuó añadiendo que "ese ha podido ser el error porque cuando heredas un proyecto de otra persona, por mucha documentación que exista, no tienes una visión global".