Hace unos días, Jesús Porras, un lector de Genbeta especializado en SEO, se puso en contacto con nosotros para contarnos que haciendo la simple búsqueda en Google de "site:https://api.whatsapp.com/send?phone=
", aparecen cientos de miles de números de teléfono en el buscador, sin que estos lo hayan autorizado per se. Según el buscador, son 176.000 resultados.
Si queremos filtrar, y añadimos un "+34" en la búsqueda, podremos dar con los números españoles listados, que según Google son 1.640. Investigando, vimos que la mayoría eran números de negocios y números registrados bajo WhatsApp Business, y entendimos la causa de que quedaran expuestos con suma facilidad.
El motivo no es otro que la indexación que Google hace de todos los enlaces publicados en páginas web y en páginas de redes sociales. En ellas se publican, con enlaces como el de la búsqueda, los números de contacto de los negocios o de personas que quieren que les podamos hablar sin tener que guardar el número en nuestra agenda. Esto tiene un nombre oficial, "Clic para chatear", y es conocido desde hace mucho tiempo.
El problema no es que los negocios utilicen esta vía, sino que WhatsApp y Facebook permitan que estos enlaces con teléfonos se indexen en Google, algo que se consigue haciendo uso de noindex en el del famoso archivo robots.txt.
Un problema que ya sufrieron los grupos de WhatsApp
En febrero de este año, ya contamos cómo, si el enlace de invitación de un grupo de WhatsApp se había publicado en una página web, aparecería en Google. Haciendo la búsqueda "site:chat.whatsapp.com
" en Google, el buscador arrojaba 470.000 enlaces, al igual que ahora arroja miles de números de WhatsApp. A día de hoy, por cierto, esa búsqueda ya no ofrece resultados. Entendemos que Facebook (propieria de WhatsApp) hizo que los enlaces de grupos se desindexaran.
Respecto al caso de los números de teléfono, desde Genbeta nos hemos puesto en contacto con Facebook para conocer su perspectiva respecto a este caso, y esto es lo que nos ha remitido un portavoz de la compañía:
"Nuestra función clic para chatear, que permite a los usuarios crear una URL con su número de teléfono para que cualquiera pueda enviarles mensajes fácilmente, es utilizada ampliamente por pequeñas y microempresas de todo el mundo para conectarse con sus clientes".
La compañía nos ha comunicado que el comportamiento que hemos observado es el esperado cuando se crea un enlace con clic para chatear y se hace público. Además, afirman que "todos los usuarios de WhatsApp, incluidas las empresas, pueden bloquear mensajes no deseados con solo tocar un botón".
Esto es cierto, pero hay que tener en cuenta que los números de teléfono pueden cambiar de manos, y en Google se seguirían mostrando. Además, mientras investigábamos, también descubrimos algunos teléfonos personales y no de empresa. Tal y como se listan ahora mismo en Google, se pueden utilizar fácilmente para campañas de SPAM.
Además, dado que el hecho de que se indexen es tan sencillo, la exposición podría utilizarse con fines malintencionados para publicar masivamente números de teléfono de terceras personas, como alguna vez se ha hecho con listas de teléfonos de famosos.
Do you remember when Whatsapp groups were available on the internet using the Google search? Well, now phone numbers are: pic.twitter.com/lYC8ACV7oW
— Alessandro Zangrandi (@alexzan__) June 7, 2020
Con un método similar al de este artículo, en las últimas horas se han publicado informaciones como las del tuit superior, que denuncian lo mismo. En vez del enlace largo, usando "site:wa.me "+34"
", la búsqueda arroja 826 contactos en vez de los 1.640 que hemos detectado con el método con el que avisaron a Genbeta.
Ver 3 comentarios