Nueva vulnerabilidad de WhatsApp permite que intrusos lean tus mensajes

Actualmente¬†m√°s de mil millones de personas¬†alrededor del mundo entero usamos WhatsApp como nuestra herramienta de mensajer√≠a principal, depositando as√≠ nuestra confianza en el¬†sistema de cifrado de usuario a usuario que fue agregado a todas las conversaciones de esta plataforma hace m√°s de dos a√Īos.

Lamentablemente, todo indica que nuestra confianza fue depositada en vano, ya que un grupo de investigadores alemanes que trabaja para la Universidad Ruhr de Bochum descubrió una vulnerabilidad que permite la intrusión de personas desconocidas a nuestras conversaciones grupales. 

Los investigadores hicieron p√ļblico su estudio en la¬†Real World Crypto¬†de este a√Īo, la cual tom√≥ lugar en Z√ļrich, Suiza. Durante este evento dedicado a la seguridad digital, se revel√≥ que¬†varias apps de mensajer√≠a cifrada cuentan con esta vulnerabilidad desde hace tiempo, incluyendo no s√≥lo a WhatsApp sino tambi√©n a¬†Signal y a Threema.

En Signal y en Threema la vulnerabilidad no es lo suficientemente grave como para preocuparse, pero los investigadores aseguran que las conversaciones grupales de WhatsApp s√≠ cuentan con¬†un agujero de seguridad considerablemente grande.¬†B√°sicamente, cualquier persona con acceso a los servidores de WhatsApp¬†puede a√Īadir integrantes a las conversaciones grupales sin autorizaci√≥n del administrador¬†del grupo.

Esto deja abiertas nuestras conversaciones ante hackers capaces de burlar la seguridad de los servidores de WhatsApp, pero honestamente es más preocupante el acceso por parte de posibles trabajadores corruptos de WhatsApp o de agencias gubernamentales que presionen legalmente a la directiva de WhatsApp hasta que les cedan el acceso a nuestras conversaciones grupales.

«Si construyes un sistema donde toda la confianza deba estar en los servidores, entonces lo √ļnico que te falta es eliminar todas las complexidades y olvidar el cifrado de usuario a usuario», dijo de forma sarc√°stica el profesor de criptograf√≠a¬†Mathew Green¬†luego de examinar el estudio de los investigadores de la Universidad Ruhr.¬†«Es una embarrada completa. No hay excusa».

Hasta los momentos la √ļnica forma de detectar alguna intrusi√≥n es estando atentos a los mensajes de interfaz que aparecen cuando se a√Īade un nuevo integrante al grupo, pero esta vulnerabilidad podr√≠a ser tan grande que los programadores experimentados¬†podr√≠an retrasar los mensajes de interfaz¬†para que nadie pueda detectar las intrusiones a tiempo. Esto es particularmente peligroso para empleados de compa√Ī√≠as importantes que usen las conversaciones grupales de WhatsApp para discutir temas laborales, ya que esta vulnerabilidad podr√≠a ser usada para¬†espionaje empresarial.¬†

WhatsApp emiti√≥ un comunicado¬†admitiendo la existencia de esta vulnerabilidad,¬†pero aseguran que¬†ning√ļn miembro puede ser a√Īadido de forma secreta,¬†ya que siempre aparecer√° un mensaje de la interfaz notificando a los usuarios sobre el nuevo integrante del grupo.

Sin embargo, el problema no se basa en eliminar los mensajes de interfaz sino en retrasarlos lo suficiente para robar toda la información necesaria de las conversaciones grupales que los intrusos hayan seleccionado como objetivo. Luego de que hayan conseguido la información que estaban buscando, probablemente ni les importe que sean detectados.

Esto podría complicar los conflictos legales que WhatsApp tiene actualmente con algunos países del mundo, los cuales derivan del mal uso de la información personal de sus usuarios. Tal vez esta vez no sea intencional, pero vivimos en una época donde el miedo al espionaje digital es más válido que nunca.

:)