Más de 400.000 enlaces de invitación a grupos privados de WhatsApp están expuestos a los motores de búsqueda

Una falla de WhatsApp permite que cientos de miles de enlaces de invitación a grupos privados sean indexados por motores de búsqueda como Google.

WhatsApp es una de las plataformas de mensajería más utilizadas en el planeta. Precisamente este mes, la empresa anunció que había superado los 2 mil millones de usuarios. Al igual que otras plataformas de mensajería, los chats grupales de WhatsApp son una forma popular de comunicarse con su familia o grupos de amigos, colegas o desconocidos en Internet. Los usuarios pueden invitar a otros a grupos privados con la función "Invitar a grupo mediante enlace" y luego compartir ese enlace como quieran. Si esos enlaces de invitación se comparten en línea, parece alarmantemente fácil encontrarlos con una simple consulta en un motor de búsqueda.

Este defecto de diseño fue informado por primera vez por el periodista Jordan Wildon en Twitter. Descubrió que Google estaba indexando las URL de "Invitación a grupo mediante enlace" y que se podían encontrar con los términos de búsqueda correctos. Los enlaces de chat grupal utilizan la URL base "chat.whatsapp.com", que se puede encontrar en Google con el modificador "sitio:".

Jane Manchun Wong, conocida por sus aplicaciones de ingeniería inversa, llamó más la atención sobre la situación. Descubrió que Google tiene más de 470.000 resultados cuando realiza una búsqueda simple en un sitio para la URL "chat.whatsapp.com". Muchos de estos resultados son invitaciones para grupos privados. Una vez que un usuario se une a un grupo, puede ver a todos los participantes y sus números de teléfono. Obviamente, este es un problema de privacidad bastante grande, ya que algunos de los grupos que existen son con los que la gente quizás no quiera asociarse públicamente.

Danny Sullivan, enlace de búsqueda pública de Google, tuiteó sobre la situación, diciendo: "Los motores de búsqueda como Google y otros enumeran páginas de la web abierta. Eso es lo que está pasando aquí. No es diferente a cualquier caso en el que un sitio permite que las URL se incluyan públicamente". Continúa diciendo que hay herramientas que los webmasters impidan que el contenido aparezca en los resultados de búsqueda, algo que WhatsApp claramente debe hacer para proteger a los usuarios de estos grupos.

Esto no es culpa de Google ni de ningún otro motor de búsqueda. Como señalaron Jane y Danny, esto se debe a una falta de previsión por parte de WhatsApp. Deberían utilizar la metaetiqueta "noindex" o "norobots.txt" para excluir las páginas de invitación y que no aparezcan en los motores de búsqueda.

Un portavoz de WhatsApp ha emitido el siguiente comunicado para Vicio:

Los administradores de grupo en los grupos de WhatsApp pueden invitar a cualquier usuario de WhatsApp a unirse a ese grupo compartiendo un enlace que hayan generado. Como todo el contenido que se comparte en canales públicos con capacidad de búsqueda, otros usuarios de WhatsApp pueden encontrar los enlaces de invitación que se publican públicamente en Internet. Los enlaces que los usuarios deseen compartir de forma privada con personas que conocen y en las que confían no deben publicarse en un sitio web de acceso público.

WhatsApp dice que los enlaces compartidos públicamente en Internet se pueden buscar, pero ese es el verdadero problema aquí. Este no es un caso de personas que encuentran algunos enlaces de chat grupal que fueron compartidos imprudentemente en línea. Miles de enlaces de invitación a chats grupales se pueden descubrir fácilmente porque WhatsApp se niega a hacer nada para evitar que los motores de búsqueda los indexen. La gente no debería compartir estas URL en línea, pero WhatsApp podría resolver el problema de que sean tan fáciles de buscar.