Meta dijo el martes que ha puesto a disposición una herramienta llamada Proxy de investigación de WhatsApp a algunos de sus investigadores de recompensas de errores desde hace mucho tiempo para ayudar a mejorar el programa e investigar de manera más efectiva el protocolo de red de la plataforma de mensajería.
La idea es facilitar la profundización en las tecnologías específicas de WhatsApp, ya que la aplicación sigue siendo una lucrativa superficie de ataque para actores patrocinados por el estado y proveedores comerciales de software espía.
La compañía también señaló que está estableciendo una iniciativa piloto en la que invitará a equipos de investigación a centrarse en el abuso de la plataforma con soporte para ingeniería y herramientas internas. «Nuestro objetivo es reducir la barrera de entrada para que académicos y otros investigadores que tal vez no estén tan familiarizados con las recompensas por errores se unan a nuestro programa», añadió.
El desarrollo se produce cuando el gigante de las redes sociales dijo que ha otorgado más de 25 millones de dólares en recompensas por errores a más de 1.400 investigadores de 88 países en los últimos 15 años, de los cuales más de 4 millones de dólares se pagaron solo este año por casi 800 informes válidos. En total, Meta dijo que recibió alrededor de 13.000 presentaciones.
Algunos de los descubrimientos de errores notables incluyeron un error de validación incompleta en WhatsApp anterior a v2.25.23.73, WhatsApp Business para iOS v2.25.23.82 y WhatsApp para Mac v2.25.23.83 que podría haber permitido a un usuario activar el procesamiento de contenido recuperado de una URL arbitraria en el dispositivo de otro usuario. No hay evidencia de que el problema haya sido explotado en la naturaleza.
Meta también lanzó un parche a nivel de sistema operativo para mitigar el riesgo planteado por una vulnerabilidad rastreada como CVE-2025-59489 (puntaje CVSS: 8.4) que podría haber permitido que aplicaciones maliciosas instaladas en dispositivos Quest manipularan aplicaciones Unity para lograr la ejecución de código arbitrario. El investigador de Flatt Security, RyotaK, ha sido reconocido por descubrir e informar la falla.
Un simple fallo de seguridad en WhatsApp expone 3.500 millones de números de teléfono
Por último, Meta dijo que agregó protecciones anti-scraping a WhatsApp luego de un informe que detallaba un método novedoso para enumerar cuentas de WhatsApp a escala en 245 países y crear un conjunto de datos que contenga a cada usuario, evitando las restricciones de limitación de velocidad del servicio. WhatsApp tiene alrededor de 3.500 millones de usuarios activos.
El ataque aprovecha una función legítima de descubrimiento de contactos de WhatsApp que requiere que los usuarios determinen primero si sus contactos están registrados en la plataforma. Básicamente, permite a un atacante recopilar información básica de acceso público, junto con sus fotos de perfil, texto Acerca de y marcas de tiempo asociadas con actualizaciones clave relacionadas con los dos atributos. Meta dijo que no encontró indicios de que alguna vez se haya abusado de este vector en un contexto malicioso.
Curiosamente, el estudio encontró millones de números de teléfono registrados en WhatsApp en países donde está oficialmente prohibido, incluidos 2,3 millones en China y 1,6 millones en Myanmar.
«Normalmente, un sistema no debería responder a un número tan elevado de solicitudes en tan poco tiempo, especialmente cuando provienen de una única fuente», afirmó Gabriel Gegenhuber, investigador de la Universidad de Viena y autor principal del estudio. «Este comportamiento expuso la falla subyacente, que nos permitió emitir solicitudes efectivamente ilimitadas al servidor y, al hacerlo, mapear los datos de los usuarios en todo el mundo».
«Ya habíamos estado trabajando en sistemas anti-scraping líderes en la industria, y este estudio fue fundamental para realizar pruebas de estrés y confirmar la eficacia inmediata de estas nuevas defensas», dijo Nitin Gupta, vicepresidente de ingeniería de WhatsApp, a The Hacker News en un comunicado.
«Es importante destacar que los investigadores eliminaron de forma segura los datos recopilados como parte del estudio y no encontramos evidencia de que actores maliciosos abusaran de este vector. Como recordatorio, los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado de extremo a extremo predeterminado de WhatsApp, y los investigadores no tuvieron acceso a ningún dato no público».
A principios de este año, Gegenhuber et al también demostraron otra investigación titulada Careless Whisper que mostró cómo los recibos de entrega pueden plantear importantes riesgos de privacidad para los usuarios, permitiendo así a un atacante enviar mensajes específicamente diseñados que pueden activar recibos de entrega sin su conocimiento o consentimiento y extraer su estado de actividad.
«Al utilizar esta técnica con alta frecuencia, demostramos cómo un atacante podría extraer información privada, como seguir a un usuario a través de diferentes dispositivos complementarios, inferir su horario diario o deducir sus actividades actuales», anotaron los investigadores.
«Además, podemos inferir el número de sesiones de usuario actualmente activas (es decir, dispositivos principales y complementarios) y su sistema operativo, así como lanzar ataques de agotamiento de recursos, como agotar la batería o la asignación de datos de un usuario, todo sin generar ninguna notificación en el lado objetivo».
(La historia se actualizó después de la publicación para incluir una respuesta de WhatsApp y dejar en claro que Unity parchó y emitió CVE-2025-59489).