Un fallo de seguridad en WhatsApp permite agregar personas a grupos sin que se enteren

Sólo lo lograrían 'hackers' que tengan control sobre los servidores de WhatsApp

Por ,
Imagen: mikicon/The Noun Project y Clipset

Un grupo de investigadores de la Universidad Ruhr de Bochum ha dado a conocer un fallo de seguridad que, en el peor de los casos, permite a WhatsApp agregar personas a grupos de conversaciones, sin conocimiento del administrador.

Este es uno de esos errores de seguridad que sólo es posible si eres una persona u organización que tiene acceso a los servidores de WhatsApp. Afecta también a otro tipo de aplicaciones, como Signal o Threema, pero el problema no es tan drástico como el de WhatsApp.

Estas aplicaciones se caracterizan por su robusta seguridad al enviar mensajes. El cifrado de extremo a extremo que usa WhatsApp es el creado por Signal, uno de los más fuertes y hasta ahora imposible de descifrar. Este error no rompe de ninguna forma el cifrado de las conversaciones. Según describen los investigadores, lo que permite es espiar una conversación de un grupo.

El atacante podría reorganizar los mensajes enviados y elegir cuándo enviarlos.

Sólo los administradores de un grupo de WhatsApp pueden agregar otras personas y en ningún caso éstos tienen acceso a mensajes que se publicasen antes de entrar. Pero si alguien tiene acceso a los servidores de WhatsApp, digamos un grupo con malas intenciones o un gobierno que quiere espiar conversaciones, pueden agregar un contacto y ver qué se está publicando.

El documento explica el método en el que el atacante podría esconder su rastro al entrar al grupo, gracias a que podría reorganizar los mensajes enviados y elegir cuándo enviarlos.

Las debilidades descritas permiten al atacante A, que controla el servidor de WhatsApp o puede romper la seguridad de transporte, tomar el control total del grupo. Sin embargo, ingresar el grupo deja huellas ya que esta operación se menciona en la interfaz gráfica del usuario. Por lo tanto el servidor de WhatsApp puede usar el hecho de que puede reorganizar los mensajes y soltarlos de forma sigilosa en el grupo. De este modo, puede almacenar en caché los mensajes enviados al grupo, primero leer su contenido y decidir en qué orden se entregan a los miembros. Además, el servidor de WhatsApp puede reenviar estos mensajes a los miembros de forma individual, de modo que una combinación de mensajes elegidos sutilmente puede ayudar a cubrir el rastro.

El problema es que de acceder a los servidores de WhatsApp, que no son infalibles, podrían manipular los mensajes de alerta que se muestran cada vez que se agrega una persona.

Foto (CC) Pixabay

En el peor de los casos, llevándolo al extremo, alguien con acceso al servidor de WhatsApp podría agregar un contacto a un grupo, sin que nadie dentro se de cuenta de que se unió. Sólo sería posible saber que ha entrado si alguien revisa la lista de contactos en el grupo.

WhatsApp ya se encuentra investigando este fallo de seguridad, según han confirmado a WIRED. El error es grave, más cuando se considera que WhatsApp es una de las aplicaciones más seguras para comunicarse de forma privada entre personas.

+ Info | WIRED

Compartir en:

Los comentarios están cerrados.

Últimos vídeos