¿Estás seguro de que tus conversaciones en grupos de WhatsApp están protegidas de ojos curiosos? Piensa otra vez. Investigadores de seguridad han descubierto un método de infiltración a chats grupales en WhatsApp. Lo que hace que el cifrado end-to-end de la herramienta de chat sea inútil.
Investigadores de la Universidad Ruhr de Alemania, han desenterrado un error de encriptación en el servicio. El mismo hace posible que las conversaciones grupales se vean comprometidas. Cabe decir que la vulnerabilidad no plantea problemas inmediatos, ya que requiere acceso directo a los servidores de WhatsApp. Aun así, el descubrimiento plantea dudas sobre la seguridad de la plataforma.
El grupo de investigación dirigió su atención a las herramientas de mensajería Signal, WhatsApp y Threema. Pero fue solo WhatsApp el que causó preocupación. El error significa que cualquiera que tenga el control de un servidor de WhatsApp podría, en teoría, insertar personas en una conversación. Ya sea con el objetivo de simplemente escuchar o desviar la conversación.
Detalles de la vulnerabilidad en WhatsApp
El error, detallado en un documento, muestra cómo es posible agregar un participante a una conversación. Esto sin el permiso de la persona que controla el grupo. Uno de los investigadores, Paul Rösler, dice: "La confidencialidad del grupo se rompe tan pronto como intruso puede obtener todos los mensajes nuevos y leerlos".
"Si hay un cifrado end-to-end para ambos grupos y las comunicaciones de dos partes, eso significa que se debe proteger contra la adición de nuevos miembros. Y si no, el valor del cifrado es muy poco" continúa Rösler.
Es probable que la falla no sea una preocupación para el usuario promedio de este servicio. Pero puede ser un poco más preocupante para periodistas e informantes que usan la plataforma. Esto porque creen que ofrece total seguridad y privacidad.
Los investigadores de la Universidad de Ruhr, junto a Johns Hopkins Green, señalan varios trucos que podrían usarse para retrasar la detección del intruso en un grupo: Primero el atacante se hará con el control del servidor de WhatsApp para tener acceso a la conversación. Seguidamente, podría usar el servidor para bloquear selectivamente cualquier mensaje en el grupo. Esto incluyendo los que hacen preguntas o advertencias sobre el nuevo participante.
Lo que dice WhatsApp de la vulnerabilidad
La empresa ha confirmado los hallazgos de los investigadores. Sin embargo, señala que no es posible agregar un nuevo miembro a un grupo sin notificar a los demás participantes. Un representante oficial de la compañía comenta al respecto:
"Hemos analizado este tema [de la vulnerabilidad] con mucho cuidado. Los miembros existentes reciben una notificación cuando se agregan nuevas personas a un grupo de WhatsApp. Creamos WhatsApp para que los mensajes de grupo no puedan enviarse a un usuario oculto. La privacidad y seguridad de nuestros usuarios es increíblemente importante para WhatsApp. Es por eso que recopilamos muy poca información y todos los mensajes enviados a través del sistema están encriptados end-to-end".
Sea que los investigadores tengan la razón o la tenga WhatsApp, lo cierto es que solo queda esperar. La compañía insiste en que su servicio es completamente seguro para el usuario. Sin embargo, quizás sería conveniente para ellos tomar las acusaciones como motivador para realizar mejoras en la privacidad de los chat grupales.