En 2016 la aplicación de mensajería instantánea WhatsApp activó su sistema de cifrado de extremo a extremo. Esta medida de seguridad permitiría a los usuarios cuidar su privacidad: nadie podría acceder a sus llamadas, mensajes o al contenido multimedia que se intercambie con otros por esta vía.

Pero, ¿que pasaría si fuera posible evitarlo? Un grupo de investigadores de la Universidad Ruhr de Bochum, en Alemania, ha descubierto que “cuando WhatsApp se pasó al sistema de cifrado de extremo a extremo hace dos años, dejó una pequeña puerta abierta que un atacante con acceso al servidor podría aprovechar”, publica Gizmodo.

Se trata de un fallo que permitiría a un sujeto externo infiltrarse en conversaciones grupales dentro de la popular aplicación, en la que se enviaron más de 75.000 millones de mensajes el pasado diciembre durante la víspera de Año Nuevo.

El fallo está en el sistema de invitaciones

El inconveniente se relaciona a la vulnerabilidad presente en el sistema de invitaciones a las conversaciones en grupo. Al crearlas es el administrador quien puede añadir o eliminar a los participantes... o eso es lo que se creía. Sin embargo, “como el proceso de invitaciones no emplea mecanismos de identificación, cualquier usuario que acceda a los servidores de la app podría otorgarse a sí mismo los permisos necesarios para tomar el control del grupo. Con ello podría acceder a él o añadir nuevos usuarios”, según Xataka.

“Ingresar al grupo deja huella, ya que la operación se refleja en la interfaz gráfica de usuario, pero el servidor de WhatsApp puede reordenar y soltar los mensajes de forma sigilosa en el grupo dicen en el estudio. Eso quiere decir que el resto de usuarios sabría que ha entrado una persona extraña cuando el atacante accediese a su grupo”, expone ese portal.

Este ‘tercero’ podría acceder y gestionar el contenido que se ha compartido en una conversación grupal: “podría almacenar en caché los mensajes enviados al grupo, leer su contenido primero y decidir en qué orden se entregan a los miembros”. Sí, esto significa que este ‘tercero’ podría espiarte, pues al entrar a los servidores de la app recibiría la información que compartes por esta vía. Y no solo eso: también podría controlar el envío de los mensajes y reenviarlos a cada uno de los contactos que integren el grupo.

¿Podría ocurrir en tus chats grupales?

¡Calma! Aunque la infiltración es posible resulta complejo aprovechar el ‘error’ para lograrlo; para ello se requiere, antes que nada, tener acceso a los servidores de WhatsApp, un ‘permiso’ que únicamente tienen los trabajadores de Facebook y de WhatsApp.

Además, si un extraño ingresa a tus conversaciones la aplicación te lo notificará, lo que te permitiría detectar a un posible atacante. Asimismo, este no tendría acceso a los mensajes antiguos: solo podría leer lo que se escribe desde el momento en que entra en el chat.

“Los investigadores admiten que es un escenario improbable, pero dicen que no es excusa para dejar un cabo suelto en un sistema que, por lo demás, es robusto. Si hay un cifrado de extremo a extremo para los grupos y las comunicaciones entre dos partes, también se debe proteger la incorporación de nuevos miembros”, sostiene el criptógrafo Paul Rösler citado por Gizmodo.