La verdad es que de entre todas las formas posibles de
espiar WhatsApp, estos
problemas de indexación de
WhtasApp en los buscadores
Google y
Bing son
una gota de agua en un océano, pero aún así sirven para ilustrar cómo
las fugas de información con datos de tu vida personal pueden estar en
cualquier rincón inesperado.
Aprovechando que había estado mirando los
problemas de indexación de Facebook en Google y Bing,
quise comprobar cuántos otras empresas grandes estaban teniendo
situaciones de confusión similares. Como ya expliqué en aquel artículo,
el que haya que usar etiquetas
X-Robots-tag en los servidores web, etiquetas
Meta en las págginas
HTML, los ficheros
robots.txt
y una cuenta de cada uno de los buscadores para pedir que elimine los
documentos que se han indexado por error, me parece lo suficientemente
confuso como para que muchas empresas tengan
problemas con ello. Y lo he
querido probar con
WhtasApp.
 |
| Figura 1: El fichero robots.txt de WhatsApp.com |
Como se puede ver, en el fichero
robots.txt de WhatsApp no hay mucho que rascar, pero aparecen dos
URLs prohibidas lo suficientemente jugosas como para darle un vistazo a las
URLs que se hayan quedado indexadas en los buscadores de alguna forma.
 |
| Figura 2: El patch indexado en Google |
De la
URL de
Android/Third_party no hay más que un
patch con no demasiada información en él, pero ahí está, indexado en
Google. De la siguiente
URL sí que hay más jugo. Si buscamos por
URLs con la ruta
payments aparecen bastantes de ellas, y como se puede ver, muchas tienen el parámetro
phone con el número de teléfono de la persona que acaba de comprar la
app.
 |
| Figura 3: Rutas de payments con números de teléfono |
Si miramos el código fuente de cksum_pay vemos que no hay ninguna meta para evitar el cacheo de las páginas ni la indexación de las URLs, por lo que todos estos datos, cuando Google o Bing los indexan, quedan guardados en la base de datos.
 |
| Figura 4: Datos de campos hidden de cksum_pay.php |
Si revisamos el resto de URLs que aparecen dentro de la ruta payments del servidor web de WhatsApp,
vemos que hay alguna de compra de una extensión del servicio, en la que
se puede acceder también al número de teléfono de la persona que ha
hecho la compra de dicho servicio.
 |
| Figura 5: Datos de una compra de extensión de servicio |
Por supuesto, como el mensaje de saludo y la fotografía son datos públicos en los servidores de
WhatsApp, y sabiendo que este número ya tenía
Whatsapp de antes, he hecho como
con los teléfonos de las páginas de contactos adultos, y he ido a buscar a la persona que tenía su número indexado. Y ahí está.
 |
| Figura 6: Perfil Whatsapp de la persona indexada en Google |
En definitiva, creo que toda esta arquitectura de
robots,
metas
y demás parches para controlar lo que se debe indexar o no en los
buscadores de los sitios es un poco lioso y puede generar problemas a
muchas grandes empresas que no hayan tenido en cuenta eso, que
esa URL que envias a tus clientes puede ser tu perdición. En este caso son pequeños detalles de la privacidad de los usuairos de
WhtasApp, pero viendo el
interés que tiene todo el mundo en la seguridad de Whatsapp, probablemente pueda ser aprovechado por alguien de alguna manera...
http://www.elladodelmal.com
De Chema Alonso
