Un repositorio publicado en GitHub ha encendido las redes con una idea inquietante: conocer tu número de teléfono podría bastar para inferir si estás usando el móvil, si lo tienes bloqueado o si está desconectado, sin enviarte un mensaje visible y sin que aparezca ninguna notificación. La herramienta se llama Device Activity Tracker y sus autores la presentan como una prueba de concepto (PoC) para investigación y divulgación de seguridad, centrada en WhatsApp y Signal.
El asunto no va de “romper WhatsApp” ni de leer conversaciones. Va de algo más sutil: aprovechar señales técnicas necesarias para que la app funcione —por ejemplo, ciertos acuses de entrega— y medir el tiempo de respuesta para deducir el estado del dispositivo. En otras palabras: el contenido puede ir cifrado, pero el “ruido” alrededor del sistema puede revelar patrones.
¿Qué significa exactamente “te pueden seguir la vida”?
Lo viral suele exagerar, pero el riesgo de fondo es real si se abusa de la técnica. La idea no es que alguien “vea tu pantalla” o te localice con GPS. Lo que puede llegar a inferirse —según explican los investigadores— es cuándo el teléfono parece activo, cuándo está en reposo y cuándo está fuera de cobertura, y con suficientes mediciones, dibujar rutinas: horas en las que normalmente estás despierto, períodos largos de inactividad, cambios de conectividad, etc.
El trabajo académico detrás de esta prueba de concepto se titula “Careless Whisper” y describe cómo los recibos de entrega pueden convertirse en un canal de filtración de privacidad. Los autores afirman que, a alta frecuencia, la técnica permitiría extraer información como estado de actividad (por ejemplo, pantalla encendida o apagada) y que incluso podría habilitar ataques de agotamiento de recursos, como drenar batería o datos, todo ello sin mostrar avisos en el dispositivo objetivo.
Entonces, ¿para qué sirve el cifrado?
Aquí está el matiz que conviene explicar de forma sencilla. El cifrado de extremo a extremo (E2EE) protege el contenido de los mensajes: ni la red, ni terceros, ni intermediarios deberían poder leer lo que se envía. Pero eso no elimina por completo los metadatos (quién habla con quién, cuándo, cómo responde el sistema) ni las señales técnicas que hacen posible confirmar entregas o sincronizar dispositivos.
“Careless Whisper” precisamente pone el foco en esa diferencia: puedes no saber qué se dijo, pero sí inferir “cuándo” hay actividad. Es una discusión clásica de privacidad moderna: el cifrado protege el texto, pero no necesariamente todo lo demás.
¿Es nuevo? ¿Está confirmado por investigadores?
Sí: la prueba de concepto de GitHub se basa explícitamente en esa investigación académica y remite a ella.
Además, el paper está disponible públicamente (preprint y versión extendida) y describe el problema como una cuestión de diseño que debería abordarse en la arquitectura de estos servicios.
En paralelo, en las últimas semanas varios medios y análisis han recogido el caso al calor de la publicación del PoC, describiéndolo como una filtración de privacidad basada en recibos de entrega y tiempos de respuesta.
Qué puede hacer un usuario normal hoy (sin paranoia)
La parte frustrante es que no hay un botón universal para “apagar estas señales” en WhatsApp o Signal, porque están ligadas a cómo funcionan los sistemas de entrega. Aun así, sí hay medidas prácticas que ayudan a reducir exposición o dificultar abusos:
- Activar el bloqueo de mensajes de cuentas desconocidas en WhatsApp
WhatsApp ofrece una opción de privacidad avanzada para bloquear altos volúmenes de mensajes de cuentas desconocidas, pensada para limitar spam y ataques de “flooding”. No es una solución perfecta contra todas las variantes del problema, pero es una mitigación razonable que eleva el listón ante abusos masivos. - Proteger el número de teléfono como si fuera un dato “semi-público”
Evitar publicarlo en abierto (webs, redes, comentarios, directorios), y si se necesita un canal público, valorar un número de contacto separado del personal. - Separar usos: número “externo” y número “privado”
Para profesionales o perfiles expuestos, puede ser útil tener un número para atención/negocio y otro para círculo cercano. - No obsesionarse con la batería… pero tomarlo como señal
El paper menciona que ataques de alta frecuencia podrían provocar consumo de batería o datos. Eso no prueba nada por sí solo (hay mil causas), pero si coincide con otras sospechas, puede ser un indicio para revisar hábitos y exposición.
Qué deberían hacer las plataformas
El mensaje de los investigadores es claro: esto no se arregla solo con “consejos al usuario”. Plantean que hace falta un cambio de diseño para que funciones como los recibos de entrega no puedan convertirse en un “ping” silencioso explotable a escala.
Preguntas frecuentes
¿Pueden leer mis mensajes con esta técnica?
No. El problema descrito se centra en inferir actividad y patrones a partir de señales de entrega y tiempos de respuesta, no en descifrar contenido.
¿Hace falta instalar algo en mi móvil?
Según los autores del paper, no: la filtración se apoya en cómo funcionan los recibos de entrega y la temporización del sistema, sin malware en el dispositivo objetivo.
¿Activar “bloquear mensajes de cuentas desconocidas” lo elimina?
No garantiza eliminarlo, pero puede reducir la capacidad de abuso a gran escala desde números desconocidos, porque limita altos volúmenes de mensajes no solicitados.
¿Esto afecta solo a WhatsApp?
La investigación citada y el PoC mencionan WhatsApp y Signal como casos de estudio dentro del problema descrito.
Fuentes:
- GitHub: gommzystudio/device-activity-tracker (GitHub)
- ArXiv: “Careless Whisper: Exploiting Stealthy End-to-End Leakage in Mobile Instant Messengers” (arXiv)
vía: opensecurity
