(https://i.postimg.cc/3RH299cf/Spyware.png) (https://postimg.cc/QB0Bdgsc)
Se ha publicado una herramienta para rastrear a más de tres mil millones de usuarios de WhatsApp y Signal. Con solo conocer el número de teléfono, los atacantes pueden determinar cuándo los usuarios llegan a casa, cuándo están usando activamente el teléfono, cuándo se van a dormir o cuándo están desconectados. También pueden agotar la batería y el límite de datos sin que los usuarios se den cuenta.
Este nuevo método de seguimiento de la actividad del usuario aprovecha el funcionamiento fundamental de los protocolos de mensajería de WhatsApp y Signal, utilizando los acuses de recibo para calcular el tiempo de ida y vuelta de la señal (RTT).
Al parecer, cualquiera puede enviar una señal a tu dispositivo, la aplicación responderá y el RTT variará considerablemente dependiendo de lo que esté haciendo el teléfono y de si está usando Wi-Fi o datos móviles.
Investigadores de seguridad describieron por primera vez esta vulnerabilidad, denominada "Silent Whisper", en un artículo publicado el año pasado.
"Un atacante puede crear mensajes sigilosos que permiten sondear a un objetivo con alta frecuencia (hasta con una granularidad de fracciones de segundo) sin generar ninguna notificación en el dispositivo del objetivo y sin que haya una conversación en curso", advirtieron los investigadores de Gegenhuber et al., de la Universidad de Viena y SBA Research.
Sin embargo, un investigador de ciberseguridad, que opera bajo el alias de "gommzystudio" en GitHub, ha publicado una herramienta de prueba de concepto que demuestra lo fácil que es rastrear la actividad confidencial de los usuarios:
https://github.com/gommzystudio/device-activity-tracker
"Un número de teléfono puede revelar si un dispositivo está activo, en modo de espera o desconectado (y mucho más)", escribe el desarrollador.
Ping rápido: estás navegando desde casa; ping lento: estás fuera.
Las aplicaciones de mensajería envían confirmaciones de entrega y de lectura cada vez que un usuario recibe un mensaje o una reacción a un mensaje. Sin embargo, para obtener estas confirmaciones, los atacantes no necesitan enviar ningún mensaje real.
En cambio, pueden "reaccionar" a mensajes inexistentes.
"El rastreador envía mensajes de reacción a identificadores de mensajes inexistentes, lo que no activa ninguna notificación en el dispositivo objetivo", explica gommzystudio.
(https://media.cybernews.com/2025/12/example.png)
Las aplicaciones responden antes de comprobar si el mensaje o la reacción existen realmente, ya que los acuses de recibo (ACK) se envían automáticamente para confirmar la recepción de los paquetes de red a bajo nivel.
"Pude enviar sondeos masivos a intervalos de aproximadamente 50 ms sin que el objetivo viera absolutamente nada: ni ventana emergente, ni notificación, ni mensaje, nada visible en la interfaz de usuario", explica el investigador en Reddit.
"El dispositivo empieza a consumir batería mucho más rápido y el uso de datos móviles se dispara significativamente. La víctima no puede detectar nada de esto a menos que conecte físicamente el iPhone a un ordenador y lo examine a fondo".
¿Qué puede lograr un atacante con 20 pings por segundo, midiendo el tiempo que tarda en llegar el acuse de recibo? Resulta que se filtra mucha información:
Un RTT bajo indica que el dispositivo está en uso, la pantalla está encendida y normalmente está conectado a Wi-Fi.
Un RTT ligeramente superior indica que el dispositivo está activo con la pantalla encendida, pero con datos móviles.
Un RTT alto indica que la pantalla está apagada y el dispositivo está en modo de espera con Wi-Fi.
Un RTT muy alto indica modo de espera (pantalla apagada) con datos móviles o mala recepción.
Los tiempos de espera agotados y los fallos indican que el dispositivo está desconectado o en modo avión.
Un RTT muy variable indica que el dispositivo está en movimiento.
"Con el tiempo, se puede usar esto para inferir el comportamiento: cuándo es probable que alguien esté en casa (RTT de Wi-Fi estable), cuándo es probable que esté durmiendo (largos periodos de espera/desconexión), cuándo está fuera y en movimiento (patrones de RTT de datos móviles)", advierte el investigador.
"Llámalo seguimiento, elaboración de perfiles, identificación digital, lo que quieras. Definitivamente es más que solo 'en línea/fuera de línea'".
El repositorio en GitHub ha atraído una atención considerable, con más de 250 estrellas y 36 bifurcaciones.
Aunque la herramienta está destinada únicamente a fines de investigación y educativos, cualquiera puede descargarla y usarla para rastrear a otros.
"Nunca rastree a personas sin su consentimiento explícito; esto puede violar las leyes de privacidad", advierte el investigador. "Úselo de forma responsable. Esta herramienta demuestra vulnerabilidades de seguridad reales que afectan a millones de usuarios".
La batería puede agotarse en pocas horas
El artículo original detalla aún más formas en que los atacantes pueden explotar esta vulnerabilidad.
Los investigadores aumentaron significativamente el consumo de batería en todos los teléfonos probados. Los hackers pueden agotar la batería muy rápidamente con solo conocer el número de teléfono.
Normalmente, un teléfono inactivo consume menos del 1% de su batería por hora. Sin embargo, durante las pruebas con WhatsApp, el iPhone 13 Pro perdió un 14% por hora, el iPhone 11 un 18% por hora y el Samsung Galaxy S23 un 15% por hora.
La aplicación Signal, sin embargo, ha implementado un límite de frecuencia para las notificaciones de lectura, algo que WhatsApp no tenía. Por lo tanto, solo disminuyó la carga de la batería en un 1% después de una hora de ataque.
Esta actividad maliciosa también consume datos, lo que degrada el rendimiento de otras aplicaciones que requieren mucho ancho de banda, como las videollamadas.
Los investigadores también detallaron que se utilizaron las confirmaciones de entrega para determinar la ubicación del usuario (por ejemplo, Emiratos Árabes Unidos frente a Alemania). Es probable que los atacantes utilicen varios dispositivos desde diferentes ubicaciones para sondear y determinar con mayor precisión la ubicación del objetivo.
Las inconsistencias en los tiempos de respuesta (RTT) también pueden indicar el tipo de dispositivo que utiliza la víctima y su sistema operativo.
¿Cómo protegerse del rastreo?
Si no desea que desconocidos accedan a su dispositivo, vaya a Configuración de WhatsApp, seleccione Privacidad, luego Avanzado y active la opción "Bloquear mensajes de cuentas desconocidas".
"Esta configuración puede reducir la capacidad de un atacante para enviar reacciones de sondeo masivas desde números desconocidos, ya que WhatsApp bloquea los mensajes de alto volumen de cuentas desconocidas", sugiere gommzystudio.
"Sin embargo, WhatsApp no especifica qué significa 'alto volumen', por lo que esto no impide por completo que un atacante envíe una cantidad considerable de reacciones de sondeo antes de que se active la limitación de velocidad".
El investigador advierte que desactivar las confirmaciones de lectura ayuda con los mensajes normales, pero no protege completamente contra este ataque específico.
"A diciembre de 2025, esta vulnerabilidad sigue siendo explotable en WhatsApp y Signal", afirmó gommzystudio.
Signal también permite a los usuarios desactivar las confirmaciones de lectura y los indicadores de escritura en la configuración de privacidad.
Es recomendable desactivar o restringir las confirmaciones de entrega (lectura), la función "Última vez en línea", el estado "En línea" y otras actualizaciones de estado similares en todas las aplicaciones de mensajería.
Fuente:
CyberNews
https://cybernews.com/security/whatsapp-signal-real-time-tracking-battery-drain-flaw/