Investigadores de seguridad han identificado una falla en WhatsApp y Signal que permite a terceros rastrear la actividad de los usuarios casi en tiempo real. El problema está relacionado con cómo ambos servicios de mensajería gestionan los recibos de entrega, que confirman que un mensaje ha llegado a un dispositivo. Enviando mensajes repetidamente y midiendo el tiempo de respuesta, un observador puede determinar si un objetivo está en línea, fuera de línea o usando activamente su teléfono. El proceso no activa notificaciones, dejando a los usuarios sin saber que se está realizando una monitorización.
Los investigadores afirmaron que la técnica se basa en analizar pequeñas variaciones en los tiempos de respuesta de la red. Estas diferencias pueden revelar cuándo un dispositivo se conecta o desconecta de la red y cuándo un usuario se activa tras un periodo de inactividad. Dado que los recibos de entrega son una parte fundamental del proceso de mensajería, los usuarios no pueden desactivarlos mediante la configuración estándar de privacidad. Esto dificulta bloquear el comportamiento sin cambios en el sistema subyacente que usan las aplicaciones.
Además de revelar patrones de actividad, el método puede usarse para agotar recursos del dispositivo. La sondeación de alta frecuencia aumenta el uso de datos en segundo plano y el consumo de baterías. Con el tiempo, esto puede reducir la duración de la batería y afectar al rendimiento del dispositivo incluso cuando el usuario no está activamente interactuando con las aplicaciones. Los investigadores señalaron que este aspecto del defecto aumenta su impacto potencial porque combina la exposición a la privacidad con el agotamiento de recursos.
El problema afecta tanto a WhatsApp como a Signal porque comparten elecciones de diseño similares en la gestión de los acuses de recibo de entrega. Los recibos de entrega difieren de los recibos de lectura, que indican si un mensaje ha sido abierto y normalmente pueden ser deshabilitados por los usuarios. Los recibos de entrega confirman la recepción a nivel técnico y permanecen activos por defecto. Los investigadores afirmaron que esta elección de diseño expone involuntariamente información de temporización que puede ser explotada.
Los especialistas en seguridad señalaron que la vulnerabilidad pone de manifiesto desafíos más amplios para proteger la privacidad de los usuarios en plataformas de mensajería a gran escala. Las funciones diseñadas para mejorar la fiabilidad también pueden crear canales secundarios que revelan datos de comportamiento. Limitar el contacto con números desconocidos puede reducir la exposición, pero no aborda completamente el problema subyacente. Desactivar los recibos de lectura no ofrece protección contra este tipo de rastreo.
Los investigadores afirmaron que abordar el problema probablemente requeriría cambios en la forma en que se gestionan los acuses de recibo de entrega a nivel de protocolo. Hasta que se realicen estos cambios, los usuarios preocupados por el seguimiento deben saber que su estado y patrones de actividad en línea pueden inferirse sin acceso directo a sus cuentas. El hallazgo subraya la complejidad de equilibrar funcionalidad y privacidad en los servicios de comunicación ampliamente utilizados.