PROBLEMAS DE SEGURIDAD

PROBLEMAS DE SEGURIDAD

La encriptación de WhatsApp hace aguas en los grupos: un infiltrado puede colarse sin que te enteres

Un grupo de expertos en seguridad ha descubierto una manera de entrar en un grupo de WhatsApp sin haber sido invitado, algo que amenaza con la privacidad y con la supuesta seguridad de la aplicación.

Un equipo alemán experto en seguridad han encontrado una manera de penetrar en un grupo de WhatsApp, a pesar de que la aplicación ofrece una encriptación desde el origen al destino -es decir, que el mensaje se transmite codificado y se descifra en el terminal que se lee-.

Para ello hay que ser bastante profesional, ya que para aprovecharse de este agujero de seguridad hace falta controlar los servidores de la aplicación. Sin embargo, una vez conseguido esto es posible introducir nuevos participantes en grupos privados sin necesidad de tener privilegios de administrador de los mismos.

Pero el estropicio puede ser mayor después de esto porque, una vez que entra una persona nueva, el teléfono de cada miembro del chat comparte las claves secretas con el nuevo integrante no invitado. Es decir, le da acceso a los mensajes que se envíen a partir de ese momento aunque no a los pasados (menos mal), según recoge el análisis presentado en una conferencia de seguridad en Suiza.

Uno de los coautores alerta de la ruptura de la confidencialidad, que se rompe tan pronto "como el miembro no invitado pueda obtener los mensajes nuevos”. También valoran que si el cifrado es de extremo a extremo “se debería proteger contra la adición de nuevos miembros” a los grupos.

Pero, ¿quién accede a los servidores de seguridad de la WhatsApp? En un principio solamente la empresa y las autoridades policiales mediante orden judicial, pero también podrían acceder hackers a un muy alto nivel.

A pesar de estos hallazgos, el jefe de seguridad de Facebook ha asegurado en Twitter que no hay ninguna ruta secreta para acceder a los grupos de WhatsApp, porque existen varias maneras de verificar los miembros de un chat de grupo. “Todos los miembros pueden ver quién se une a él y comprobar la lista de contactos”, asegura.

 

En declaraciones a 'Wired' los autores afirman que si "todo se reduce a confiar en el servidor” se trata de un importante error, porque la premisa de una encriptación total es que incluso un servidor comprometido no debería exponer secretos.

También aseguran que la app tendría que usar un mecanismo de autenticación para que no se pueda falsificar la invitación desde el servidor, además de bloquear los mensajes que se envíen a partir de la entrada de alguien no invitado.

Seguro que te interesa

Javier Pérez Rey | @javierperezrey | Madrid | 12/01/2018

Los mas vistos

Utilizamos cookies propias y de terceros para mejorar, recoger datos estadísticos y mostrarle publicidad relevante. Si continúa navegando, está aceptando su uso. Puede obtener más información o cambiar la configuración en política de cookies.