Los grupos de WhatsApp, como el resto de conversaciones dentro del servicio de mensajería instantánea, cuentan con cifrado de extremo a extremo. Es decir, que los contenidos compartidos en ellos están cifrados y únicamente pueden ser ‘descubiertos’ por emisor y receptor, a pesar de que los mensajes pasan por los servidores de WhatsApp. Sin embargo, investigadores alemanes han encontrado que es posible ‘inyectar’ usuarios en estos grupos, de tal modo que esos mensajes compartidos quedan visibles para el atacante.
La protección que aplica la firma de Mark Zuckerberg no es vulnerable, pero lo que sí tiene un fallo de seguridad encontrado por estos investigadores alemanes es el sistema de acceso a los grupos de WhatsApp. De esta forma, dado que es posible ‘inyectar’ a un usuario dentro de un grupo de WhatsApp, una vez que se lleva a cabo la infiltración es posible leer los mensajes. Sencillamente, porque inyectado el usuario pasa a ser un participante más del grupo, y por lo tanto recibe las claves de cifrado al convertirse en un receptor más de los contenidos intercambiados.
Hace falta infiltrarse en los servidores de WhatsApp, pero ¿es tan difícil hacerlo?
Para hacer esto hay que atacar los servidores de WhatsApp. Por este mismo motivo, desde Facebook han reconocido el problema que mencionan los investigadores alemanes, pero le han restado importancia por la ‘baja probabilidad’ de que un ataque de este tipo tenga éxito. Es posible atacar los servidores de WhatsApp, y con conocimientos técnicos no parece una tarea tan complicada. En cualquier caso, desde la firma de Mark Zuckerberg han señalado también que llegaría una notificación dentro del grupo informando de que se ha unido al grupo una nueva persona, con el número de teléfono del atacante.
El problema de seguridad en cuestión tiene que ver con los enlaces de invitación a chats en grupo. La vulnerabilidad está precisamente en ese sistema de invitación (abierto) según el cual podemos crear una dirección URL que sirve como forma de acceso a un grupo. Estos enlaces no están limitados, sino que sirven para el acceso siempre y cuando se tengan. Es decir, que tenga quien tenga esa URL podrá acceder al grupo, no hay restricción por número de teléfono, por ejemplo, sino que el único requisito es disponer de ese enlace.