Investigadores de la Universidad Ruhr de Bochum, Alemania, han descubierto en WhatsApp fallas de seguridad que pueden permitir a los intrusos infiltrarse en las conversaciones en grupo, pese a que la aplicación utiliza un sistema de cifrado de extremo a extremo, reporta Wired.
Los especialistas alemanes detectaron una serie de vulnerabilidades en diversas aplicaciones de mensajería cifrada -incluidas WhatsApp, Signal y Threema- que, según afirman, socavan las afirmaciones que cada una de ellas hace acerca de la seguridad de las conversaciones grupales. Y si bien en el caso de Signal y Threema los fallos son "relativamente inofensivos", para WhatsApp no es así.
En particular, los criptógrafos alemanes advierten que cualquier persona que controle los servidores de WhatsApp podría fácilmente incluir nuevos integrantes en un grupo privado, incluso sin el permiso del administrador de la conversación.
Y esta falla es muy simple, aseguran: pese a que solo el administrador de la conversación en grupo puede invitar a nuevos miembros, la mensajería no ??usa para esa invitación ningún mecanismo de autenticación que sus propios servidores no puedan falsificar. Con lo cual el servidor puede simplemente agregar al grupo un nuevo miembro, sin interactuar con el administrador, y este intruso obtiene así pleno acceso a los nuevos mensajes. Además, los investigadores afirman que la falla permitiría a quien controle el servidor esconder o retrasar la notificación de que se ha unido un nuevo miembro.
"La confidencialidad del grupo se rompe tan pronto como el miembro no invitado puede obtener todos los mensajes nuevos y leerlos", comentó el coautor del estudio Paul Rösler. "Si hay un cifrado de extremo a extremo, tanto para grupos como para comunicaciones entre dos partes, eso significa que deben ser protegidos de que se añadan nuevos miembros. Y si no, el valor del cifrado es muy poco", sostuvo.
Un portavoz de WhatsApp confirmó a Wired los recientes hallazgos, pero afirmó que nadie puede añadir secretamente un nuevo miembro a un grupo, debido a que sus participantes son automáticamente notificados de toda incorporación. Asimismo negó que el atacante pudiera impedir o esconder esa notificación.