Fallo en WhatsApp permite infiltrarse y ver mensajes de los grupos

El hacker «puede guardar en caché todos los mensajes y luego decidir qué se envía a quién y qué no»

Regeneración, 11 de enero del 2018.-Un equipo de criptógrafos alemanes reveló que WhatsApp, tiene un error que hace posible infiltrarse en los grupos de chat.

La herramienta de mensajería dice que la encriptación es un método de protección que cifra los datos para que solamente quienes tienen la «llave» puedan acceder a ellos. Es decir, que si un ciberdelincuente intenta interceptar un mensaje de WhatsApp solamente verá una serie de caracteres sin sentido. Quienes poseen la llave para descifrarlo son quien lo envía y quien lo recibe.

Pero los investigadores de la Universidad Ruhr Bochum dijeron que sus hallazgos socavan las afirmaciones de seguridad de la aplicación. Y fueron explícitos: cualquiera que controle los servidores de WhatsApp puede fácilmente insertar nuevas personas en un grupo, incluso sin el permiso del administrador. Así lo resumen los investigadores en un artículo titulado Más es menos: sobre la seguridad integral de los chats grupales en Signal, WhatsApp y Threema, indicó la revista Wired.

«La confidencialidad del grupo se rompe tan pronto como el miembro no invitado puede obtener todos los mensajes nuevos y leerlos», señaló Paul Rösler, uno de los investigadores.

Los potenciales hackers se podrían aprovechar de un error simple. Solo un administrador de un grupo de WhatsApp puede invitar a nuevos miembros, pero WhatsApp no usa ningún mecanismo de autenticación para esa invitación que los propios servidores de WhatsApp no puedan falsificar. Desde los servidores se puede agregar un nuevo miembro a un grupo sin interacción por parte del administrador y el teléfono de cada participante comparte claves secretas con ese nuevo miembro, dándole acceso completo a todos los futuros mensajes.

El hacker «puede guardar en caché todos los mensajes y luego decidir qué se envía a quién y qué no», señaló Rösler.

Un portavoz de WhatsApp confirmó a Wired que el problema existe, pero negó que un hipotético atacante pueda almacenar en caché los mensajes del grupo o evitar alertar a los usuarios de que hay un nuevo miembro en ese grupo.

Los investigadores de la Universidad de Ruhr alertaron a WhatsApp sobre el problema en julio pasado. En respuesta a su informe, WhatsApp respondió que el error de invitación grupal es simplemente «teórico» y que ni siquiera calificaba para el programa de recompensas de errores administrado por Facebook, el propietario de WhatsApp.

Vía El Observador