Nueva vulnerabilidad de WhatsApp permite que intrusos lean tus mensajes

Actualmente más de mil millones de personas alrededor del mundo entero usamos WhatsApp como nuestra herramienta de mensajería principal, depositando así nuestra confianza en el sistema de cifrado de usuario a usuario que fue agregado a todas las conversaciones de esta plataforma hace más de dos años.

Lamentablemente, todo indica que nuestra confianza fue depositada en vano, ya que un grupo de investigadores alemanes que trabaja para la Universidad Ruhr de Bochum descubrió una vulnerabilidad que permite la intrusión de personas desconocidas a nuestras conversaciones grupales. 

Los investigadores hicieron público su estudio en la Real World Crypto de este año, la cual tomó lugar en Zúrich, Suiza. Durante este evento dedicado a la seguridad digital, se reveló que varias apps de mensajería cifrada cuentan con esta vulnerabilidad desde hace tiempo, incluyendo no sólo a WhatsApp sino también a Signal y a Threema.

En Signal y en Threema la vulnerabilidad no es lo suficientemente grave como para preocuparse, pero los investigadores aseguran que las conversaciones grupales de WhatsApp sí cuentan con un agujero de seguridad considerablemente grande. Básicamente, cualquier persona con acceso a los servidores de WhatsApp puede añadir integrantes a las conversaciones grupales sin autorización del administrador del grupo.

Esto deja abiertas nuestras conversaciones ante hackers capaces de burlar la seguridad de los servidores de WhatsApp, pero honestamente es más preocupante el acceso por parte de posibles trabajadores corruptos de WhatsApp o de agencias gubernamentales que presionen legalmente a la directiva de WhatsApp hasta que les cedan el acceso a nuestras conversaciones grupales.

«Si construyes un sistema donde toda la confianza deba estar en los servidores, entonces lo único que te falta es eliminar todas las complexidades y olvidar el cifrado de usuario a usuario», dijo de forma sarcástica el profesor de criptografía Mathew Green luego de examinar el estudio de los investigadores de la Universidad Ruhr. «Es una embarrada completa. No hay excusa».

Hasta los momentos la única forma de detectar alguna intrusión es estando atentos a los mensajes de interfaz que aparecen cuando se añade un nuevo integrante al grupo, pero esta vulnerabilidad podría ser tan grande que los programadores experimentados podrían retrasar los mensajes de interfaz para que nadie pueda detectar las intrusiones a tiempo. Esto es particularmente peligroso para empleados de compañías importantes que usen las conversaciones grupales de WhatsApp para discutir temas laborales, ya que esta vulnerabilidad podría ser usada para espionaje empresarial. 

WhatsApp emitió un comunicado admitiendo la existencia de esta vulnerabilidad, pero aseguran que ningún miembro puede ser añadido de forma secreta, ya que siempre aparecerá un mensaje de la interfaz notificando a los usuarios sobre el nuevo integrante del grupo.

Sin embargo, el problema no se basa en eliminar los mensajes de interfaz sino en retrasarlos lo suficiente para robar toda la información necesaria de las conversaciones grupales que los intrusos hayan seleccionado como objetivo. Luego de que hayan conseguido la información que estaban buscando, probablemente ni les importe que sean detectados.

Esto podría complicar los conflictos legales que WhatsApp tiene actualmente con algunos países del mundo, los cuales derivan del mal uso de la información personal de sus usuarios. Tal vez esta vez no sea intencional, pero vivimos en una época donde el miedo al espionaje digital es más válido que nunca.

:)