Un grupo de investigadores alemanes ha descubierto una vulnerabilidad en la popular aplicación de mensajería WhatsApp que hace posible que se agreguen miembros a conversaciones grupales sin la autorización del administrador.
Los investigadores de la Universidad Ruhr de Bochum en Alemania presentaron su investigación esta semana en la conferencia de seguridad y cifrado World Crypto en Zurich, Suecia. Sus estudios pusieron en duda la privacidad de las telecomunicaciones mediante Whatsapp, Signal y Threema, que durante los últimos años se han destacado por ofrecer cifrado de punta a punta en sus telecomunicaciones para evitar que terceras personas puedan interceptarlas.
“Si dicen que las conversaciones están cifradas de punta a punta en las charlas grupales e individuales, se debería prestar mucha más atención a los modos de añadir nuevos miembros a los grupos”, dijeron los investigadores. “De lo contrario, el valor del cifrado es muy bajo”.
Pero las investigaciones del equipo de expertos revelaron que cualquier usuario que controle los servidores de WhatsApp puede añadir a otras personas a conversaciones grupales sin mucho esfuerzo y sin necesidad de tener grandes conocimientos en programación o informática. La intrusión puede realizarse sin la aprobación de ningún administrador del grupo.
Esto le da al intruso las llaves de cifrado necesarias para leer todos los mensajes que se compartan de allí en adelante en la ventana de conversaciones, pero las conversaciones pasadas se mantienen cifradas.
El administrador y los miembros del grupo pueden detectar al nuevo miembro por una notificación que aparece automáticamente cada vez que alguien se une a la conversación, pero en un chat muy activo es probable que este corto mensaje se pase por alto. Si el administrador está atento podría publicar un mensaje mencionando al nuevo integrante, pero la vulnerabilidad también permite al intruso alterar los mensajes que reciben los participantes.
“El servidor de WhatsApp puede reordenar y escribir mensajes en el grupo”, dice el informe de los investigadores. “Por lo tanto, puede poner en caché los mensajes enviados al grupo, leer su contenido antes y decidir en qué orden los recibirán los miembros”. “Es más, el servidor de WhatsApp puede reenviar estos mensajes de forma individual a los miembros de tal modo que una combinación de mensajes elegida con cuidado puede ayudarle a esconder sus rastros”.
Las aplicaciones de mensajería instantánea se han convertido en una herramienta cotizada no sólo entre amigos, familiares y colegas que quieren mantenerse al tanto de su día a día, sino también entre organizaciones, agrupaciones y movimientos que dependen de ella para la planificación de sus actividades, manifestaciones y propagación de sus ideologías.
Es por eso que esta vulnerabilidad puede ser de interés no sólo de hackers que quieren invadir la privacidad de otros individuos, sino también de gobiernos y agencias de seguridad que por años han buscado modos de espiar las telecomunicaciones de individuos y agrupaciones que consideran peligrosas para su seguridad nacional o una amenaza para su autoridad.
Fuentes
WHATSAPP SECURITY FLAW LETS HACKERS ENTER ANY GROUP UNNOTICED Newsweek
WHATSAPP SECURITY FLAWS COULD ALLOW SNOOPS TO SLIDE INTO GROUP CHATS Wired
WhatsApp Security Design Could Let an Infiltrator Add Members to Group Chats [Updated] Gizmodo
Vulnerabilidad en WhatsApp permite colar miembros en conversaciones grupales