Negua
Moderator
Cuando todos estábamos tan felices pensando que WhatsApp era un cáncer de la sociedad que nos obliga a estar enganchados a los grupos y a responder al minuto a nuestro jefe, pero al menos era seguro gracias al cifrado de extremo a extremo, va un grupo de criptógrafos de la Universidad de Ruhr (Alemania) y lo tira todo por tierra descubriendo una importante vulnerabilidad que posibilitaría que cualquiera pueda entrar a leer los mensajes de un chat grupal.
¿Entonces qué significa lo del cifrado de extremo a extremo? Que sí, que eso es seguro, pero claro, si luego se dejan flecos que no cifran... pues pasa lo que pasa. En este caso lo frágil es el acceso al servidor. Eso sí, no está al alcance de cualquiera: solo un hacker de nivel, un empleado de la firma o el gobierno podrían aprovechar esta firma para entrar a nuestros grupos y leer los mensajes.
Como explican en su artículo titulado Más es menos: sobre la seguridad integral de los chats grupales en Signal, WhatsApp y Threema:
Las debilidades descritas permiten al atacante A, que controla el servidor de WhatsApp o ha conseguido romper la seguridad de la capa de transporte, tomar el control total sobre un grupo. Ingresar al grupo deja huella, ya que la operación se refleja en la interfaz gráfica de usuario, pero el servidor de WhatsApp puede reordenar y soltar los mensajes de forma sigilosa en el grupo. De este modo, podría almacenar en caché los mensajes enviados al grupo, leer su contenido primero y decidir en qué orden se entregan a los miembros. Además, el servidor podría reenviar estos mensajes a los miembros de forma individual, de modo que una combinación de mensajes elegida sutilmente podría ayudarlo a cubrir su rastro.
Explicado para que lo podamos entender todos: la clave de es el administrador y sus permisos para invitar a más gente al grupo. Cuando alguien logra hacerse con el control del servidor, se puede otorgar sus permisos y agregar a nuevos usuarios porque además este proceso es fácilmente falsificable al no contar con mecanismos de autenticación.
Un portavoz de WhatsApp ha confirmado la vulnerabilidad pero claro, no es tan fácil: primero tiene que ser alguien con conocimiento para hacerlo (que lo hay) y lo segundo, si alguien consiguiese colarse en un chat de grupo, sería visto por el resto al aparecer la notificación del miembro nuevo, saltando todas las alarmas.
Sea como sea, esperemos que WhatsApp tome cartas en el asunto y lance una actualización que además de seguir metiendo más funciones, también nos proteja en este sentido.
__________________________________________
Todos los créditos para Gizmodo