Un fallo en WhatsApp permite espiar chats de grupo sin que sus miembros se enteren

La privacidad de los grupos de WhatsApp lleva unos meses en entredicho. El debate de hasta qué punto es una conversación privada o pública ha generado grandes polémicas en España con casos como el de los policías locales de Madrid o el de la denuncia de un vecino a su Ayuntamiento por meterle en uno de estos chats con el resto de ciudadanos. Pero fuera de esta discusión se ha encontrado algo bastante más grave. Especialistas en ciberseguridad en Alemania han encontrado una vulnerabilidad en la aplicación que permitiría a un atacante espiar estas conversaciones de una forma mucho más sencilla de lo que imaginamos.

Encontrado y publicado por investigadores de la Universidad de Ruhr (Alemania) en la conferencia de seguridad Real World Crypto, el fallo permitiría, según sus descubridores, que cualquier persona que controle los servidores de la aplicación añada a un usuario a un grupo sin el permiso del administrador, que es la persona que, en teoría, controla ese acceso. ¿Esto significa que se ha roto el encriptado de la aplicación? No, pero sí que hay formas de saltarselo.

TE PUEDE INTERESAR

Un fallo en WhatsApp permite a cualquiera espiar a qué hora te acuestas y te levantas

G.C.

El mayor problema radica en que esta vulnerabilidad acaba con toda la idea de privacidad que en teoría ofrece la aplicación con su cifrado de extremo a extremo. El fallo, adelantado por la revista Wired, permite a un atacante infiltrarse en nuestras conversaciones grupales pudiendo almacenar todos los datos allí presentes (móviles incluídos, obviamente) y lo que se comente, sin que nadie se diese cuenta de su presencia. ¿Aparecería la notificación de la llegada de nuevo miembro? Sí, pero, según los investigadores, el 'hacker' podría esconderlo sin demasiados problemas.

"La confidencialidad del grupo se rompe en cuanto el miembro infiltrado tiene acceso a todos los mensajes nuevos y puede leerlos", ha asegurado Paul Rösler, uno de los investigadores de la Universidad del Ruhr que descubrieron el fallo y lo publicaron en un documento llamado ‘Más es menos: sobre la seguridad integral de los chats grupales en Signal, WhatsApp y Threema’: "Si escucho que hay un cifrado de extremo a extremo para todos los grupos y comunicaciones personales, eso significa que se debe proteger contra la posibilidad de que los mensajes sean leídos por otros usuarios ajenos. Y si no, el valor del cifrado es muy poco".

¿Cómo funciona este fallo?

Los atacantes se aprovechan de un fallo tan simple como llamativo, y es que, aunque solo el administrador de un grupo puede añadir nuevos miembros al mismo, el proceso de invitación no tiene ningún mecanismo de autenticación que no pueda ser falsificado por los gestores de los servidores. Un atacante que quisiera tirar de esta vulnerabilidad solo tendría que tomar el servidor y otorgarse los permisos necesarios para agregar un nuevo usuario a esta conversación.

La compañía, que sabe del error desde julio, ha confirmado el fallo a Wired, pero ha negado en rotundo que sea un fallo grave y ni siquiera ha contado con este descubrimiento como candidato para el programa de recompensas de errores de ciberseguridad que otorga Facebook, dueño de WhatsApp. Además, asegura que ya ha corregido el problema con una nueva característica que hace casi imposible que un atacante descifre los mensajes, incluso teniendo un acceso al grupo en cuestión.

Los investigadores, por su parte, están de acuerdo con la compañía en que es un 'exploit' difícil de aprovechar porque se necesita comprometer los servidores de WhatsApp, pero quieren dejar claro que eso no es excusa para que un sistema que dice ser casi invulnerable no tome medidas.