Ya hace dos años que WhatsApp añadió encriptación punto a punto en todas sus conversaciones. A pesar de que esto aumenta la seguridad y privacidad de nuestros chats, se ha descubierto un error de seguridad que permite acceder a grupos privados saltándose el cifrado.
Criptógrafos alemanes descubren un error de seguridad en WhatsApp
El principal factor que lleva a establecer un cifrado de punto a punto responde a la cuestión de la privacidad: los mensajes solo deben ser leídos por aquel que lo envía y aquel que lo recibe. En el momento en el que el mensaje llega o pasa por otra persona o servidor, el filtrado ha fallado. Y esto es lo que ha descubierto un equipo de criptógrafos alemanes durante una conferencia de seguridad en Suiza.
El objetivo de este grupo era encontrar fallos de seguridad en apps de mensajerías populares. En los chats de Signal y Threema encontraron fallos menores, pero en WhatsApp encontraron fallos más preocupantes en las conversaciones grupales. El principal es que, si una persona controla un servidor de WhatsApp, puede agregar a cualquier otra persona si así lo desea, aunque no cuente con los permisos de los administradores.
Este fallo en el servidor va en contra de lo que debería suponer disponer de una encriptación punto a punto. Incluso si los servidores se vieran comprometidos, las conversaciones deberían permanecer a salvo. Con este fallo, cualquiera puede entrar a verlas si se hace con el control del servidor.
A qué se debe el fallo de seguridad
Según explica el grupo de investigadores, el motivo por el que el fallo es posible es por un bug bastante sencillo. Aunque solo los administradores cuentan con permisos para añadir a nuevos miembros, WhatsApp no proporciona ningún método de autentificación. Por tanto, el servidor no cuenta con un mecanismo que prevenga este fallo. Por su parte, los usuarios verán un mensaje indicando que un nuevo miembro ha sido añadido al grupo, pero dado que solo el administrador sabe si lo ha hecho o no, se depende de que esa persona esté atenta.
El peligro aumenta teniendo en cuenta que, si se han hecho con el control del servidor, pueden elegir quién ha visto qué mensaje, engañando a la gente y evitando ser detectado. Incluso con varios administradores puede hacer creer a uno que ha sido otro quien le ha invitado.
Por su parte, WhatsApp ha respondido a las críticas. Aseguran que en un futuro pretenden incluir la invitación por URL y que implementar medidas contra el error detectado por el equipo alemán rompería esta función. Además, consideran improbable que nadie note que una persona no deseada se ha añadido al grupo, y que el aviso que aparece indicando la nueva adición sería suficiente.
Tal y como dice uno de los descubridores de este error, es como decir que nadie va a robar en una puerta del banco abierta porque hay una cámara de seguridad. La respuesta de WhatsApp parece bastante crédula, y no debería calmar a los usuarios.
