WhatsApp es la app que lidera la mensajería instantánea en móviles y tiene más
de 3.000 millones de usuarios activos mensuales, casi un tercio de la
población mundial. Aunque esta empezó por su cuenta en 2009, en 2014 fue
comprada por Facebook por nada menos que 19.000 millones de dólares. No ha
sido hasta hace poco cuando hemos visto los mayores cambios realizados en la
popular aplicación por parte de Meta, como el añadido de la IA. Ahora se
revela una verdad que muchos no esperaban y es que resulta que
aunque WhatsApp promete cifrado de extremo a extremo, esto
no ocurre con los mensajes en chats grupales.
Un equipo de investigadores confirmó este comportamiento en un
análisis formal publicado recientemente [PDF] sobre la mensajería grupal de WhatsApp. Realizaron ingeniería
inversa de la aplicación, describieron los protocolos criptográficos formales
y proporcionaron teoremas que establecen las garantías de seguridad que ofrece
WhatsApp. En general, dieron el visto bueno a la aplicación de mensajería,
concluyendo que funciona de forma segura y según lo descrito por WhatsApp.
La app promete cifrado de extremo a extremo, lo que implica que los chats que
tenemos en ella no van a ser leídos por nadie, ni siquiera por la propia
empresa. Esto se cumple cuando tenemos chats individuales, pero se ha
descubierto que en los grupos esto no existe, pues resulta que los chats
grupales no tienen protección criptográfica.
Según Martin R. Albrecht, investigador del King’s College de Londres, esto
implica que el servidor de WhatsApp podría añadir personas nuevas a un grupo.
En caso de que esto se realice y no se verifique si el miembro se ha añadido
manualmente, este podrá acabar leyendo los mensajes.
Esto es una función peligrosa en caso de que se trate de un grupo de gran
importancia, como podría ser entre miembros de funcionarios del Gobierno. En
el caso teórico de que un administrador de WhatsApp tenga los suficientes
privilegios como para añadir miembros adicionales ocurriría la desgracia, pues
las personas que entrasen a través de él tendrían acceso a la lectura de los
mensajes. Por norma general algo así no debería ocurrir, pero podemos
extrapolarlo a una posible brecha de seguridad donde un ciberatacante tendría
el control sobre esto.
Para poder añadir nuevos miembros a un chat grupal sin protección
criptográfica habría que seguir esta serie de pasos:
-
Un miembro envía un mensaje sin firma al servidor de WhatsApp donde indica
los nombres de los miembros del grupo - El servidor analiza y confirma dichas personas y las añade al grupo
-
Los miembros de ese grupo deciden aceptar si los mensajes de los miembros
añadidos y si los mensajes de ellos deben ser cifrados
Al no existir firmas criptográficas que verifiquen a un miembro existente que
desee añadir a un nuevo miembro, cualquier persona con la capacidad de
controlar el servidor o los mensajes que recibe puede añadir nuevos miembros.
Utilizando el escenario ficticio común para ilustrar el cifrado de extremo a
extremo, esta falta de seguridad criptográfica deja abierta la posibilidad de
que un atacante se una a un grupo y acceda a los mensajes legibles que se
intercambian allí.
WhatsApp no es la única aplicación de mensajería que carece de seguridad
criptográfica para los nuevos miembros del grupo. En 2022, un equipo que
incluía a algunos de los mismos investigadores que analizaron WhatsApp
descubrió que Matrix, una plataforma de código abierto y propietaria para clientes y servidores
de chat y colaboración, tampoco ofrecía métodos criptográficos para
garantizar que solo los miembros autorizados se unieran a un grupo.
Telegram, por su parte, no ofrece cifrado de extremo a extremo para los
mensajes grupales, lo que la convierte en una de las aplicaciones más
vulnerables a la hora de garantizar la confidencialidad de los mensajes
grupales.
Debido a que no hay seguridad criptográfica, teóricamente podríamos ver como
una persona nueva se une al grupo y accede a estos mensajes aunque sea un
completo desconocido. Esto no ocurre en otras apps de mensajería como Signal,
la cual si proporciona una gestión criptográfica para el administrador de los
grupos. Los investigadores avisaron a WhatsApp y estos contestaron que
seguirán añadiendo capas de protección y los usuarios tienen notificaciones de
cuando alguien entra al grupo para identificar si es conocido y pertenece ahí
o no.
Fuente:
ArsTechnica