Las conversaciones grupales de WhatsApp no son tan seguras y privadas como se creía, ni siquiera tras la implantación del cifrado de extremo a extremo. Un grupo de investigadores de la Universidad Ruhr de Bochum, Alemania, ha descubierto una vulnerabilidad que permite infiltrarse en cualquier grupo de chat de la aplicación.
WhatsApp es con diferencia una de las aplicaciones de chat más utilizadas del mundo, y por lo tanto, cualquier fallo de seguridad que se encuentre en ella puede afectar a millones de personas. Por eso, vamos a explicarte qué es exactamente esa vulnerabilidad que se ha encontrado y cómo puede afectarte a ti y a los grupos en los que estás.
El problema en cuestión radica en el sistema de invitaciones de los grupos. En teoría, sólo el administrador de un grupo puede añadir nuevos miembros. Pero como el proceso de invitaciones no emplea mecanismos de identificación, cualquier usuario que acceda a los servidores de la app podría otorgarse a sí mismo los permisos necesarios para tomar el control del grupo. Con ello podría acceder a él o añadir nuevos usuarios.
"Ingresar al grupo deja huella, ya que la operación se refleja en la interfaz gráfica de usuario, pero el servidor de WhatsApp puede reordenar y soltar los mensajes de forma sigilosa en el grupo", dicen en el estudio. Eso quiere decir que el resto de usuarios sabría que ha entrado una persona extraña cuando el atacante accediese a su grupo.
"De este modo, [el atacante] podría almacenar en caché los mensajes enviados al grupo, leer su contenido primero y decidir en qué orden se entregan a los miembros", dice también el estudio. Esto quiere decir que, en teoría y una vez haya accedido a los servidores de WhatsApp y tomado el control del grupo, el atacante podría recibir todos los mensajes que se envíen a través de él y espiarte.
Una vez tomado el control del servidor, también tendría el control de reenviar los mensajes del grupo a cada integrante de manera individual. Con ello podría intentar cubrir su propio rastro, o simplemente crear malentendidos haciendo que a una persona le lleguen los mensajes en un orden diferente al de los demás.
Lo primero que tienes que tener en cuenta es que, tal y como explican en YCombinator, es extremadamente difícil que alguien pueda aprovechar esta vulnerabilidad para espiarte. Primero porque para ello tendría que acceder a los servidores de WhatsApp, y el estudio no ha determinado cómo se hace o el nivel de dificultad que requiere.
A los servidores de WhatsApp sólo tienen acceso los trabajadores de Facebook y de la aplicación de mensajería. Evidentemente un cracker podría acceder también, pero es poco probable que alguien se tome esa molestia para pequeños grupos. Eso sí, los gobiernos también podrían demandar acceso para alguna investigación, por lo que siempre queda la puerta abierta a que se pueda explotar la vulnerabilidad para vigilar a los integrantes de un grupo tras una orden judicial.
Según Alex Stamos, Jefe de Seguridad de Facebook (propietaria de WhatsApp), cuando alguien accediese al grupo siempre dejaría un rastro con el clásico mensaje de "X persona se ha unido al grupo". Por lo tanto, un atacante no podría espiar a los integrantes del grupo sin que estos tuvieran indicios de ello.
Un atacante no podría leer lo que se ha escrito antes de entrar él al grupo.
También hay que tener en cuenta que el atacante tampoco podría leer lo que se ha escrito en el grupo con anterioridad, por lo que sólo podría espiar lo que se dice a partir del momento en el que entra en el grupo... dejando el rastro pertinente del que hemos hablado.
En cuanto a lo que se menciona en el estudio relacionado con alterar el orden de los mensajes que se recibe, hacerlo requeriría de romper la capa de seguridad que transmite los mensajes, algo bastante complejo. Pero aún en el caso de que alguien lo hiciese, alterar el orden de los mensajes no tendría demasiado impacto más allá de las molestias de algún que otro malentendido.
Como conclusión, si tienes un pequeño grupo familiar o de amigos en WhatsApp no te deberías preocupar demasiado, ya que el ataque es lo suficientemente complejo de realizar como para desalentar a quien sólo quiera trollearte. Eso sí, si en el grupo se comparte algún tipo de información sensible quizá haya alguien con el suficiente tiempo libre como para intentarlo, y si en él se realiza alguna actividad sospechosa quizá sean los propios gobiernos quienes lo utilicen.
En cualquier caso, los integrantes del grupo siempre sabrán que alguien nuevo se ha unido al grupo, por lo que es poco probable que el espionaje pase desapercibido. Esto quiere decir que sí, los grupos de WhatsApp son vulnerables, pero no de una manera que impacte directamente la seguridad de todos.