Alerta en WhatsApp : Grave falla de seguridad

Una falla de seguridad en WhatsApp deja la puerta abierta para que un intruso se infiltre en un grupo de chat grupal.
jueves, 11 de enero de 2018 · 00:00
TECNO.- Una falla de seguridad en WhatsApp deja la puerta abierta para que un intruso se infiltre en un grupo de chat grupal, al tener el control de los servidores del servicio de mensajería, advirtió un equipo de criptógrafos alemanes.

El mecanismo de ataque se aprovecha de "un simple error", detallaron los investigadores de la Universidad Ruhr de Bochum en Alemania, quienes presentaron un estudio sobre las vulnerabilidades en las aplicaciones de mensajería con protocolo de encriptación (incluyendo a WhatsApp, Signal y Threema) en la conferencia de seguridad Real World Crypto.

Solo el administrador de un grupo de WhatsApp puede invitar a nuevos miembros, pero este servicio no usa ningún mecanismo para que esa invitación no pueda ser falsificada por sus propios servidores, explicaron.

Entonces -agregaron- al tomar control del servidor se puede agregar un nuevo miembro a un grupo sin interacción por parte del administrador, y luego el intruso tendrá acceso completo a cualquier mensaje futuro (los mensajes enviados antes de una invitación no se pueden ver).

"La confidencialidad del grupo se rompe tan pronto como el miembro no-invitado puede acceder a todos los nuevos mensajes y leerlos", sostuvo Paul Rösler, uno de los investigadores de la Universidad, que es coautor de un documento sobre las vulnerabilidades de la mensajería grupal, en declaraciones a la publicación especializada Wired.

WhatsApp implementa el cifrado de extremo a extremo en su aplicación, lo que significa que solo el emisor y el receptor pueden leer los mensajes enviados, "y que nadie más, ni siquiera WhatsApp, lo puede hacer", sostiene la compañía en su blog.

Asimismo, establece que los mensajes "se aseguran con un candado y solo el emisor y el receptor cuentan con el código/llave especial" para abrirlos y leerlos.

Un vocero de WhatsApp le confirmó a Wired el descubrimiento de los criptógrafos, pero enfatizó que nadie puede agregar de forma secreta un nuevo miembro a un grupo (se notifica que un nuevo miembro desconocido fue unido al grupo).

Si un administrador detecta una nueva adhesión sospechosa al grupo, siempre puede avisarle a los otros miembros a través de otros grupos o en mensajes individuales.

Los investigadores de la Universidad de Ruhr afirmaron haber reportado a WhatsApp sobre el problema de la seguridad de los mensajes grupales en julio pasado.

En respuesta a su reporte, el personal de WhatsApp les dijo a los investigadores que el error que encontraron ni siquiera calificaba para el llamado programa de recompensa de errores administrado por Facebook, en el que se les paga a los investigadores de ciberseguridad por informar sobre fallas de software de la empresa. (TN)

Otras Noticias