WhatsApp se impuso cuando estableció que todas las conversaciones estarían encriptadas y que solamente sus participantes pueden leerlas. Pero asegurarse de que los mensajes solo lleguen a quienes deben es más complicado cuando se trata de más de dos usuarios y ahora un grupo de investigadores encontró una falla de seguridad que permite acceder a los chats grupales.
El miércoles, el equipo de criptografía de la Universidad Ruhr, ubicada en Bochum, Alemania, presentó en la conferencia de seguridad Real World Crypto una sería de fallas en las plataformas de mensajería de WhatsApp, Signal y Threema que compromete la seguridad de las conversaciones grupales en cada una.
En Signal y Threema las fallas resultaron ser menores, pero en Whatsapp le permite a quien controle sus servidores incluir a nuevos miembros en un grupo privado sin requerir permiso del administrador. “Si dicen que hay encriptación punto a punto, tanto para los grupos como para las conversaciones entre dos usuarios, quiere decir que impiden que se agreguen nuevos miembros. Si no existe esta protección, el valor de la encriptación es mínimo”, explicó Paul Rösler, uno de los investigadores.
El hecho de que su explotación dependa del acceso a los servidores limita los posibles atacantes a hackers experimentados, miembros del personal de WhatsApp y gobiernos que acuerden con la empresa para acceder a los datos. Pero es algo muy distinto a lo que WhatsApp publicita al asegurar que las conversaciones están encriptadas punto a punto, donde solo los usuarios involucrados deberían poder acceder a los mensajes.
En un contexto donde WhatsApp continua siendo presionada por distintos gobiernos que solicitan acceso a las conversaciones, adquiere otro calibre. Cualquier vulnerabilidad, accidental o no, que le permite a la empresa darle el acceso a las autoridades merece atención.
Los investigadores de Ruhr también contaron que el problema podría solucionarse si se agrega como requerimiento para ingresar a un grupo la firma digital de su administrador. Pero esto haría que los links de invitación a los grupos dejen de funciona, lo cual explica por qué la empresa se resiste a cambiar el sistema.
Alex Stamos, el jefe de Seguridad de Facebook, empresa que compró WhatsApp en 2014 por US$ 19.000 millones, respondió a la nota del medio estadounidense Wired y dijo que no hay una forma secreta de acceder a los chats grupales. Explicó que hay múltiples formas de verificar a los miembros de un grupo y que en caso de que alguien acceda, todos serían notificados de su ingreso.
Fuente: Infotechnology