PROBLEMAS DE SEGURIDAD

La encriptación de WhatsApp hace aguas en los grupos: un infiltrado puede colarse sin que te enteres

Unos investigadores han encontrado una puerta trasera por la que alguien se puede colar a un grupo de WhatsApp sin haber sido invitado.

Grupos de Whatsappagenciasenado en Flickr bajo licencia CC

Un equipo alemán experto en seguridad han encontrado una manera de penetrar en un grupo de WhatsApp, a pesar de que la aplicación ofrece una encriptación desde el origen al destino -es decir, que el mensaje se transmite codificado y se descifra en el terminal que se lee-.

Para ello hay que ser bastante profesional, ya que para aprovecharse de este agujero de seguridad hace falta controlar los servidores de la aplicación. Sin embargo, una vez conseguido esto es posible introducir nuevos participantes en grupos privados sin necesidad de tener privilegios de administrador de los mismos.

Pero el estropicio puede ser mayor después de esto porque, una vez que entra una persona nueva, el teléfono de cada miembro del chat comparte las claves secretas con el nuevo integrante no invitado. Es decir, le da acceso a los mensajes que se envíen a partir de ese momento aunque no a los pasados (menos mal), según recoge el análisis presentado en una conferencia de seguridad en Suiza.

Uno de los coautores alerta de la ruptura de la confidencialidad, que se rompe tan pronto "como el miembro no invitado pueda obtener los mensajes nuevos”. También valoran que si el cifrado es de extremo a extremo “se debería proteger contra la adición de nuevos miembros” a los grupos.

Pero, ¿quién accede a los servidores de seguridad de la WhatsApp? En un principio solamente la empresa y las autoridades policiales mediante orden judicial, pero también podrían acceder hackers a un muy alto nivel.

A pesar de estos hallazgos, el jefe de seguridad de Facebook ha asegurado en Twitter que no hay ninguna ruta secreta para acceder a los grupos de WhatsApp, porque existen varias maneras de verificar los miembros de un chat de grupo. “Todos los miembros pueden ver quién se une a él y comprobar la lista de contactos”, asegura.

En declaraciones a 'Wired' los autores afirman que si "todo se reduce a confiar en el servidor” se trata de un importante error, porque la premisa de una encriptación total es que incluso un servidor comprometido no debería exponer secretos.

También aseguran que la app tendría que usar un mecanismo de autenticación para que no se pueda falsificar la invitación desde el servidor, además de bloquear los mensajes que se envíen a partir de la entrada de alguien no invitado.