El equipo de investigadores de la Universidad Ruhr de Bochum, de Alemania, puso a prueba la seguridad de la aplicación para descubrir si se puede acceder a los grupos de WhatsApp, conversaciones y números de teléfono, sin que el hacker encuentre medidas de protección.
Esto puede ser posible si el hacker logra tener acceso al servidor de WhatsApp. Facebook, propietario de la aplicación de mensajería, no dio mucha importancia dado que para poder explotar esta vulnerabilidad, argumentó que se deben acceder a sus ultra protegidos servidores.
Este descubrimiento fue dado a conocer en el marco del Real World Crypto, un certamen que reúne a expertos en seguridad de todo el mundo que pudieron atender las explicaciones del equipo de investigadores, que enfrentaron la seguridad de WhatsApp con Signal y Threema, los máximos sistemas de cifrado del mercado.
Los especialistas alemanes explicaron que el error radica en que el proceso de invitación de otras personas al grupo no cuenta con ningún mecanismo de autenticación que no pueda ser adulterado por quienes gestionan los servidores.
También indicaron que si un hacker quiere aprovecharse del sistema solo tiene que acceder a los servidores de WhatsApp y otorgarse los permisos necesarios para agregarse a sí mismo (o a otra persona) a la conversación.
Por otra parte, Alex Stamos, responsable de seguridad en Facebook, explicó en su perfil de Twitter que los grupos de WhatsApp están configurados de manera que cualquier nuevo acceso al mismo es notificado al resto de los miembros, con lo que cualquier acceso no deseado sería rápidamente neutralizado.
No hay por qué preocuparse
Un vocero de WhatsApp afirmó que el fallo no es tan grave y que han analizado el asunto con detenimiento.
“Construimos WhatsApp para que los mensajes grupales no pudieran ser enviados a un usuario oculto. La privacidad y seguridad de nuestros usuarios es muy importante para nosotros, por eso recabamos muy poca información y todos los mensajes son enviados con cifrado de extremo a extremo”, mencionó el representante.
El vocero ratificó que es posible comprobar quiénes son los miembros del grupo haciendo clic en la pestaña “información sobre el grupo”. Y cada chat en WhatsApp tiene un código de seguridad único que se encuentra en la pantalla de información de contactos y que está disponible en forma de código QR y de 60 dígitos.
Lo investigadores, que descubrieron la falla, sugirieron que la compañía tecnológica debería añadir una forma de autentificación todavía más segura para sus usuarios.
Esta aplicación de mensajería emplea el cifrado de Signal, un cifrado único que no necesita crear chats secretos para proteger la privacidad y restringe la posibilidad de que terceros puedan desencriptar códigos.
WhatsApp es una de las aplicaciones más usada en todo el mundo y cuenta con más de 1.200 millones de usuarios activos mensuales.
(Con base en publicaciones de El País y BBC Mundo)
