Hace más de dos años que WhatsApp implementó el cifrado de conversaciones de extremo a extremo. Esta medida de seguridad al menos en la teoría hace que sea imposible para un tercero leer los mensajes que están intercambiando dos personas o los miembros de un grupo.
Sin embargo, un grupo de investigadores de la Universidad de Ruhr en Alemania, han descubierto un método por medio del cual, un atacante no tendría que romper el mecanismo de cifrado de WhatsApp, sino que podría saltárselo por completo, para poder infiltrase en chats grupales y leer los mensajes que se están intercambiando. No obstante, hay un gran pero al método expuesto en el detallado paper que se puede leer a continuación.
Se trata de un método que, aunque suene sencillo, requiere un alto nivel de sofisticación e incluye el poder tomar el control de los servidores propios de WhatsApp, para poderse agregar como miembro de un grupo y acceder a los mensajes como si fuera un miembro más del mismo.
Para resumirlo, en los grupos de WhatsApp, solo el administrador tiene la potestad de agregar nuevos miembros, no obstante, el sistema de invitaciones no requiere de autenticaciones avanzadas, por lo que una persona que tenga el control del servidor, podría auto invitarse a cualquier grupo para hacer parte de este, dándose los permisos de administrador del grupo.
“Las debilidades descritas permitirían a un atacante que controle el servidor de WhatsApp o ha conseguido romper la seguridad de la capa de transporte, tomar el control total sobre un grupo. En todo caso, Ingresar al grupo va a dejar rastro, ya que la operación se refleja en la interfaz gráfica de usuario, pero el servidor de WhatsApp puede reordenar y soltar los mensajes de forma sigilosa en el grupo. De este modo, el atacante podría almacenar en caché los mensajes enviados al grupo, leer su contenido primero y decidir en qué orden se entregan a los miembros. Además, el servidor podría reenviar estos mensajes a los miembros de forma individual, de modo que una combinación de mensajes elegida sutilmente podría ayudarlo a cubrir su rastro” comenta el artículo.
Los miembros del grupo podrían detectar al intruso
Aunque se trata de un escenario hipotético donde por ejemplo un empleado de WhatsApp, una agencia gubernamental o un hacker altamente capacitado logra acceder a los servidores propios de la compañía, el hueco existe y ha sido confirmado a Wired por un portavoz de la compañía. No obstante, este negó que los mensajes se guarden en cache, por lo que cualquier ingreso a un grupo sería visto por todos los miembros, quienes notarían el ingreso de un nuevo miembro desconocido.
Entre las conclusiones del interesante artículo se destaca, que a pesar de tratarse de un escenario hipotético poco probable, es importante que WhatsApp y otras plataformas similares no dejen puertas abiertas en sus sistemas de encriptación punto a punto, como por ejemplo en el mencionado sistema de invitaciones de nuevos miembros de grupo en WhatsApp.
En Xataka Colombia | Tus historias de Instagram podrían empezar a salir en WhatsApp, según rumores