WhatsApp sufre un fallo de seguridad que hace posible que alguien pueda infiltrarse en un chat de grupo sin haber sido invitado por el administrador. De este modo, las conversaciones y archivos privados compartidos en el mismo perderían privacidad. Así lo han demostrado un equipo de criptógrafos alemanes en una conferencia mundial de criptografía en Zúrich (Suiza).
El equipo de investigadores de la Universidad Ruhr Bochum (Alemania) ha logrado encontrar fallos de seguridad en tres aplicaciones de mensajería, WhatsApp, Signal y Threema. Sin embargo, mientras que el agujero de seguridad en las dos últimas apps son «inofensivos», la vulnerabilidad encontrada en WhatsApp sí es más preocupante.
Según revela Wired, el fallo permite que cualquiera que sea capaz de controlar los servidores de WhatsApp podría insertar «sin esfuerzo» nuevas personas a cualquier grupo privado, incluso sin el permiso del administrador del mismo, quien se supone es el que controla el acceso a dicha conversación.
«La confidencialidad del grupo se rompe tan pronto como el miembro no invitado puede obtener todos los mensajes nuevos y leerlos. Si se establece que hay un cifrado de extremo a extremo para ambos grupos y las comunicaciones de las partes, eso significa que se debe proteger también contra añadir a nuevos miembros. Y si no, el valor del cifrado es muy débil», explica a la publicación Paul Rösler, uno de los investigadores de la Universidad del Ruhr.
WhatsApp incorporó el cifrado entre extremo que codifica la conversaciones entre usuarios, sin embargo, con esta falla encontrada en el diseño del servicio, si un empleado o gobierno (bajo solicitud y aprobación judicial) puede llegar a tener acceso a los servidores de la aplicación, podría incorporar a un ‘espía’ dentro del grupo conversacional que desee, y así acceder al contenido del mismo.
WhatsApp resta importancia al fallo
Desde la compañía han confirmado el descubrimiento de los criptógrafos alemanes, aunque han restado importancia al fallo ya que si se incorpora a una persona nueva a un grupo todos los miembros del mismo serían informados.
«Hemos analizado este tema cuidadosamente. Pero los miembros actuales reciben una notificación cuando se agregan nuevas personas a un grupo de WhatsApp. Creamos WhatsApp para que los mensajes de grupo no puedan enviarse a un usuario oculto. La privacidad y seguridad de nuestros usuarios es increíblemente importante. Es por eso que recopilamos muy poca información y todos los mensajes enviados en WhatsApp están encriptados de extremo a extremo», ha indicado un portavoz a Wired.
Este argumento de la compañía no ha convencido a Matthew Green, profesor de criptografía de la Universidad Johns Hopkins (Estados Unidos), quien explica al medio que «es un error total. No hay excusa. Si construyes un sistema donde todo se reduce a confiar en el servidor, también puedes prescindir de toda la complejidad y olvidarte del cifrado de extremo a extremo».
Green compara que la argumentación de WhatsApp es como «dejar la puerta de entrada de un banco desbloqueada y luego decir que nadie lo va a robar porque hay una cámara de seguridad. Es tonto».