Alarma para WhatsApp

WhatsApp, una falla pone en peligro los chats grupales

Según un estudio realizado por investigadores de la Universidad de Ruhr en Bochum, los piratas informáticos pueden agregar personas a los chats grupales de WhatsApp.

En los años WhatsApp ha invertido mucho en la seguridad de los datos de los usuarios. La autenticación de dos factores y el cifrado de un extremo a otro de las conversaciones se han introducido gracias a Open Whisper Systems. Sobre todo, esta última decisión ha permitido mejorar la privacidad y protegerse de los piratas informáticos.

Tanto los usuarios como los expertos han acogido con satisfacción el gran avance de la introducción del cifrado de extremo a extremo dentro de la aplicación. El uso de la cifrado de extremo a extremo debería sugerir que los datos de los usuarios están seguros y que nadie puede inmiscuirse en sus conversaciones. Pero en realidad este no es el caso. Esto es lo que surge de una investigación realizada de la Universidad Ruhr de Bochum (en Alemania) que descubrió la presencia de un hazlo dentro de los servidores de WhatsApp.

Lo que encontraron los investigadores

El estudio se dio a conocer en la conferencia de seguridad Real World Crypto e inmediatamente habló mucho sobre sí mismo.

La investigación ha encontrado fallas en tres aplicaciones de mensajería instantánea: WhatsApp, Signal y Threema. Si bien los problemas encontrados en las dos últimas aplicaciones se solucionan fácilmente, el Error de WhatsApp potencialmente pondría en peligro todas las conversaciones grupales. Según los investigadores, una falla permitiría a cualquier persona con acceso a los servidores de WhatsApp agregar personas a las conversaciones grupales, sin pedir el consentimiento de los administradores. Debido a este error, los piratas informáticos podían ingresar a los chats sin que nadie se diera cuenta y comenzar a recopilar datos de los usuarios.

Qué pueden hacer los piratas informáticos

El acceso a los servidores de WhatsApp permitiría a los piratas informáticos tener un control absoluto de las conversaciones grupales. Cuando agrega a alguien a un chat, aparece un mensaje en el chat, notificando a otros usuarios. Si un hacker agregó al usuario mediante manipulación a nivel de servidor, un administrador de grupo podría advertir a otros usuarios que no agregó a nadie. Pero si el grupo es muy activo, en 99% de los casos puede escapar el mensaje de agregar un nuevo usuario. Al controlar directamente los servidores, los piratas informáticos también tienen otros poderes. Por ejemplo, pueden decidir qué mensajes mostrar dentro del chat e incluso enviar diferentes mensajes a los administradores del grupo. De esta manera, la intrusión pasa casi desapercibida y los malos pueden recopilar datos de las personas de forma segura.

WhatsApp en alerta

Investigadores de la Universidad del Ruhr dijeron que advirtieron a WhatsApp en julio del año pasado, pero el personal de la aplicación de mensajería instantánea no encontró el error lo suficientemente importante como para merecer la recompensa en efectivo que Facebook ofrece a cualquiera que descubra un hacerlo en una de sus plataformas. Algunos empleados de WhatsApp confirmaron el problema a Wired, pero enfatizaron el hecho de que cuando se agrega un nuevo miembro a un chat, todos los usuarios son notificados a través de un mensaje. Y eso protegería los datos del usuario.

Como resolver el problema

Según los estudiosos, el problema podría resolverse fácilmente, bastaría con que WhatsApp hiciera un simple cambio. Agregue algún tipo de autenticación de dos factores para agregar un usuario a un nuevo grupo, una clave que solo tiene el administrador del grupo. Veremos si WhatsApp decide seguir los consejos de los investigadores.