Descubren fallo en WhatsApp que permite infiltrarse en los grupos

0
425

Investigadores alertan que el cifrado de extremo a extremo no es infalible

¿Puede un tercero leer sus mensajes de WhatsApp sin que usted se entere? La app de mensajería había indicado que el cifrado de extremo a extremo lo hacía imposible. No obstante, un equipo de criptógrafos alemanes reveló que la herramienta tiene un error que hace posible infiltrarse en los chats grupales.

La encriptación es un método de protección que cifra los datos para que solamente quienes tienen la “llave” puedan acceder a ellos. Es decir, que si un ciberdelincuente intenta interceptar un mensaje de WhatsApp solamente verá una serie de caracteres sin sentido. Quienes poseen la llave para descifrarlo son quien lo envía y quien lo recibe.

En la conferencia de seguridad Real World Crypto, realizada el miércoles en Zúrich, Suiza, los investigadores de la Universidad Ruhr Bochum dijeron que sus hallazgos socavan las afirmaciones de seguridad de la aplicación. Y fueron explícitos: cualquiera que controle los servidores de WhatsApp puede fácilmente insertar nuevas personas en un grupo, incluso sin el permiso del administrador. Así lo resumen los investigadores en un artículo titulado Más es menos: sobre la seguridad integral de los chats grupales en Signal, WhatsApp y Threema, consignado por la revista Wired.

“La confidencialidad del grupo se rompe tan pronto como el miembro no invitado puede obtener todos los mensajes nuevos y leerlos”, señaló Paul Rösler, uno de los investigadores.

Los potenciales hackers se podrían aprovechar de un error simple. Solo un administrador de un grupo de WhatsApp puede invitar a nuevos miembros, pero WhatsApp no usa ningún mecanismo de autenticación para esa invitación que los propios servidores de WhatsApp no puedan falsificar. Desde los servidores se puede agregar un nuevo miembro a un grupo sin interacción por parte del administrador y el teléfono de cada participante comparte claves secretas con ese nuevo miembro, dándole acceso completo a todos los futuros mensajes.

El hacker “puede guardar en caché todos los mensajes y luego decidir qué se envía a quién y qué no”, señaló Rösler.

Un portavoz de WhatsApp confirmó a Wired que el problema existe, pero negó que un hipotético atacante pueda almacenar en caché los mensajes del grupo o evitar alertar a los usuarios de que hay un nuevo miembro en ese grupo.

Los investigadores de la Universidad de Ruhr alertaron a WhatsApp sobre el problema en julio pasado. En respuesta a su informe, WhatsApp respondió que el error de invitación grupal es simplemente “teórico” y que ni siquiera calificaba para el programa de recompensas de errores administrado por Facebook, el propietario de WhatsApp.