Meta dijo el martes que ha puesto a disposición una herramienta llamada Proxy de investigación de WhatsApp a algunos de sus investigadores de recompensas por errores desde hace mucho tiempo para ayudar a mejorar el programa e investigar de manera más eficaz el protocolo de red de la plataforma de mensajería.
La idea es facilitar la profundización en las tecnologías específicas de WhatsApp, ya que la aplicación sigue siendo un lucrativa superficie de ataque para actores patrocinados por el estado y vendedores comerciales de software espía.
La compañía también señaló que está creando una iniciativa piloto en la que invita a los equipos de investigación a centrarse en el abuso de la plataforma con el apoyo a la ingeniería y las herramientas internas. «Nuestro objetivo es reducir la barrera de entrada para que los académicos y otros investigadores que tal vez no estén tan familiarizados con las recompensas por errores se unan a nuestro programa», adicional .
El desarrollo se produce cuando el gigante de las redes sociales dijo que había otorgado más de 25 millones de dólares en recompensas por errores a más de 1.400 investigadores de 88 países en los últimos 15 años, de los cuales más de 4 millones de dólares se pagaron solo este año por casi 800 informes válidos. En total, Meta dijo que había recibido alrededor de 13 000 presentaciones.
Algunos de los errores más notables descubiertos incluyen un error de validación incompleta en WhatsApp anterior a la versión 2.25.23.73, WhatsApp Business para iOS v2.25.23.82 y WhatsApp para Mac v2.25.23.83, que podría haber permitido a un usuario activar el procesamiento del contenido recuperado de una URL arbitraria en el dispositivo de otro usuario. No hay pruebas de que el problema haya sido explotado de forma espontánea.
También parcheado por Meta hay un vulnerabilidad rastreado como CVE-2025-59489 (puntuación CVSS: 8.4) que podría haber permitido que las aplicaciones malintencionadas instaladas en los dispositivos Quest manipularan las aplicaciones de Unity para lograr la ejecución de código arbitrario. El investigador de Flatt Security, RyoTak, ha sido reconocido por descubrir y denunciar la falla.
Una simple falla de seguridad de WhatsApp expone 3.5 mil millones de números de teléfono
Por último, Meta dijo que añadió protecciones contra el raspado a WhatsApp tras un informe que detallaba un método novedoso para enumerar las cuentas de WhatsApp a escala en 245 países y crear un conjunto de datos que incluyera a todos los usuarios, evitando las restricciones de velocidad del servicio. WhatsApp tiene unos 3.500 millones de usuarios activos.
El ataque aprovecha una función legítima de descubrimiento de contactos de WhatsApp que requiere que los usuarios determinen primero si sus contactos están registrados en la plataforma. Básicamente, permite a un atacante recopilar información básica de acceso público, junto con sus fotos de perfil, el texto informativo y las marcas de tiempo asociadas a las actualizaciones clave relacionadas con los dos atributos. Meta dijo que no había encontrado indicios de que se hubiera abusado alguna vez de este vector en un contexto malintencionado.
Curiosamente, el estudio encontró millones de números de teléfono registrados en WhatsApp en países donde está oficialmente prohibido, incluidos 2,3 millones en China y 1,6 millones en Myanmar.
«Normalmente, un sistema no debería responder a un número tan elevado de solicitudes en tan poco tiempo, especialmente cuando provienen de una sola fuente», dijo Gabriel Gegenhuber, investigador de la Universidad de Viena y autor principal del estudio, dijo . «Este comportamiento puso de manifiesto la falla subyacente, que nos permitió emitir un número ilimitado de solicitudes al servidor y, al hacerlo, mapear los datos de los usuarios de todo el mundo».
A principios de este año, Gegenhuber et al también demostrada otra investigación titulada Careless Whisper que mostró cómo los recibos de entrega pueden representar importantes riesgos para la privacidad de los usuarios, lo que permite a un atacante enviar mensajes diseñados específicamente que pueden activar recibos de entrega sin su conocimiento o consentimiento y extraer su estado de actividad.
«Al utilizar esta técnica con alta frecuencia, demostramos cómo un atacante puede extraer información privada, como seguir a un usuario a través de diferentes dispositivos complementarios, deducir su horario diario o deducir las actividades actuales», señalaron los investigadores.
«Además, podemos deducir el número de sesiones de usuario actualmente activas (es decir, los dispositivos principales y complementarios) y su sistema operativo, así como lanzar ataques de agotamiento de recursos, como agotar la batería o la asignación de datos de un usuario, todo ello sin generar ninguna notificación en el lado objetivo».