Una búsqueda básica en Google devuelve cientos de miles de resultados con grupos de Whatsapp privados a los que unirse sin consentimiento aparente de sus administradores. Debido a que el buscador indexa los enlaces con invitaciones a estos grupos, pasan a ser públicos y cualquiera puede unirse a ellos si encuentra el link, en consecuencia, acceder a conversaciones privadas o números de teléfonos.

Todo se debe a cómo funcionan las invitaciones a los grupos de WhatsApp, que lo hacen mediante enlaces con una estructura concreta. Estos enlaces aparentemente están disponibles de forma pública mediante la web de WhatsApp, ya que Facebook permite que el buscador de Google indexe las invitaciones a grupos de WhatsApp y por lo tanto aparezcan en los resultados de los usuarios de Google.

Ejemplo de una búsqueda de grupos de WhatsApp en Google.

Acceso a conversaciones y números privados en cuatro clicks

Cuatro clicks en Google son lo que se necesita para tener acceso a conversaciones de grupos privados e información de los miembros del mismo. En el buscador de Google, al insertar unos términos específicos, devuelve todos los resultados que sean enlaces a grupos de WhatsApp. A partir de ahí sólo hay que seleccionar uno de ellos y redirigirá a la app de WhatsApp donde se muestra más detalles del grupo y un botón para confirmar que se desea unir al grupo.

Sin ningún tipo de permiso necesario, se puede acceder directamente a grupos de desconocidos y tener acceso a información de otros miembros como pueden ser sus nombres, fotografías de perfil o números de teléfono. Una vez dentro el resto de miembros del grupo verán que un nuevo usuario se ha unido, aunque para entonces ya se habrá accedido a una parte importante de los datos.

Ejemplo de un acceso a un grupo privado de WhatsApp mediante un enlace de Google. Dentro aparece información privada de los miembros como sus números de teléfono o fotografías.

Desde Xataka hemos hecho una serie de pruebas y, efectivamente, es así de sencillo acceder a grupos privados de WhatsApp. No se requiere ninguna aprobación por parte de los administradores y las búsquedas se pueden incluso afinar más para llevar a enlaces de temáticas concretas o grupos determinados, por ejemplo digamos grupos que sean 'quedada' en 'Madrid' para 'carnaval'. Hay que remarcar el hecho de que los administradores pueden deshabilitar un enlace de invitación a un grupo, en tal caso aparecerá un mensaje indicando que el enlace ha sido revocado, pero seguirá apareciendo en los resultados de búsqueda con los datos básicos del grupo.

Ejemplo de enlace de invitación a un grupo de WhatsApp y de mensaje que aparece cuando el acceso ha sido revocado a ese enlace.

Cómo han llegado a Google cientos de miles de enlaces a grupos de WhatsApp

Por defecto los robots de Google indexan todo el contenido que encuentran en una página web, a no ser que se haya pedido explícitamente que un directorio no sea recopilado. Según explica uno de los ingenieros de Google, los desarrolladores web tienen herramientas para ocultar parte de la página web que no quieran que sea indexada.

¿Es responsabilidad de Facebook/WhatsApp ocultar para Google ese segmento de su página web que incluye los enlaces a grupos de WhatsApp? No podemos saber a ciencia cierta cómo funciona sus sistema de grupos e invitaciones. Por último, está la responsabilidad de cada usuario de compartir o no compartir un enlace a un grupo de WhatsApp de forma pública.

Actualmente en WhatsApp hay selección granular de quién puede añadir a un usuario a un grupo pero no de quién puede unirse a un grupo. En los últimos meses WhatsApp ha estado en el punto de mira por algún que otro problema de seguridad más. Recientemente salió a la luz cómo se utilizó WhatsApp para infectar el teléfono de Jeff Bezos y acceder a información y datos confidenciales del CEO de Amazon de forma remota.

Desde Xataka nos hemos puesto en contacto tanto con Google como con Facebook/WhatsApp para saber cuál es su posición oficial al respecto. Actualizaremos el artículo en caso de que exista alguna declaración sobre ello.

Vía | Jordan Wildon y Motherboard