Se supone que la app de chat tiene un cifrado de extremo a extremo para proteger las conversaciones entre usuarios. Pero un grupo de criptógrafos ha logrado entrar en un grupo privado de WhatsApp sin ser invitados, por lo que han podido hacerse con datos privados de todos los miembros. Así funciona la vulnerabilidad de la app, que ya permite oir las notas de voz antes de enviarlas.
Si nos metemos dentro de la web de ayuda de WhatsApp, podemos leer que el sistema de cifrado de extremo a extremo que WhatsApp implementó hace dos años “asegura que solo tú y el receptor puedan leer lo que se envía, y que nadie más, ni siquiera WhatsApp, lo pueda hacer. Tus mensajes se aseguran con un candado y solo tú y el receptor cuentan con el código/llave especial para abrirlo y leer los mensajes. Para mayor protección, cada mensaje que envías tiene su propio candado y código único. Todo esto pasa de manera automática”. Pero un grupo de investigadores han demostrado que eso no es así según leemos en Wired.
Colarse en un grupo de WhatsApp
Compuesto por criptógrafos alemanes, el grupo de investigadores han descubierto vulnerabilidades en el sistema de seguridad de la app, revelando en la Conferencia de Seguridad World Crypto de Suiza que cualquiera que tenga el control de los servidores de la aplicación puede colar a los usuarios que quiera dentro de chats privados de grupos sin tener que pedir permiso a los administradores de estos grupos. Una vez dentro, el nuevo ‘invitado’ puede leer todos los mensajes de dicho grupo de WhatsApp -pero sólo los nuevos, los antiguos no- y hacerse con datos privados como los números de teléfono de los miembros.
La grave vulnerabilidad se reduce a un simple bug: En teoría sólo un administrador de un grupo de WhatsApp puede invitar a nuevos miembros, pero la app no usa ningún mecanismo de autenticación para esa invitación, y el servidor puede añadir un nuevo miembro a un grupo sin que haya a la fuerza una interacción por parte del administrador. De esta manera el móvil de cada miembro del grupo comparte el código secreto con ese nuevo miembro, dándole acceso a cualquier mensaje que se escriba a partir de su entrada. Todos verán que hay un nuevo miembro en el grupo, así que es cuestión de que el administrador esté vigilante y pueda alertar al resto.
Bloquear advertencias
Lo grave de controlar el servidor de WhatsApp es que los investigadores han demostrado que quien maneje dicho servidor puede ver todos los mensajes y decidir cuál se envía a qué contactos y cual no. Por ello puede incluso bloquear cualquier mensaje dentro del grupo, incluidos los del administrador advirtiendo de una presencia no deseada en el grupo.
Alex Stamos, jefe de seguridad de Facebook -la dueña de WhatsApp- quitó hierro al asunto en un mensaje en Twitter aduciendo a que la noticia de la web Wired tiene “un titular que asusta. Pero no hay una forma secreta de entrar en los chats de grupo de WhatsApp”. Según Stamos hay muchas formas de comprobar y verificar a un miembro de un chat de grupo, y dado que todos ven a los nuevos que entran, enseguida saltarían las alarmas. Preguntado sobre la opción de rediseñar WhatsApp para eliminar esta vulnerabilidad, el jefe de seguridad alegó que si se rediseñase la app, disminuiría su sencillez de uso.