Presente también en las mensajerías de Signal y Threema, la vulnerabilidad es más significativa en WhatsApp, que por su parte sostiene que es imposible usarla para acceder a conversaciones grupales.
Investigadores de la Universidad Ruhr de Bochum, Alemania,
han descubierto en WhatsApp fallas de seguridad que pueden permitir a los
intrusos infiltrarse en las conversaciones en grupo, pese a que la aplicación
utiliza un sistema de cifrado de extremo a extremo, reporta Wired.
Los especialistas alemanes detectaron una serie de vulnerabilidades en diversas aplicaciones de mensajería cifrada -incluidas WhatsApp, Signal y Threema- que, según afirman, socavan las afirmaciones que cada una de ellas hace acerca de la seguridad de las conversaciones grupales. Y si bien en el caso de Signal y Threema los fallos son "relativamente inofensivos", para WhatsApp no es así.
En particular, los criptógrafos alemanes advierten que
cualquier persona que controle los servidores de WhatsApp podría fácilmente
incluir nuevos integrantes en un grupo privado, incluso sin el permiso del
administrador de la conversación.
Y esta falla es muy simple, aseguran: pese a que solo el
administrador de la conversación en grupo puede invitar a nuevos miembros, la
mensajería no usa para esa invitación ningún mecanismo de autenticación que
sus propios servidores no puedan falsificar. Con lo cual el servidor puede
simplemente agregar al grupo un nuevo miembro, sin interactuar con el administrador,
y este intruso obtiene así pleno acceso a los nuevos mensajes. Además, los
investigadores afirman que la falla permitiría a quien controle el servidor
esconder o retrasar la notificación de que se ha unido un nuevo miembro.
"La confidencialidad del grupo se rompe tan pronto como
el miembro no invitado puede obtener todos los mensajes nuevos y leerlos",
comentó el coautor del estudio Paul Rösler. "Si hay un cifrado de extremo
a extremo, tanto para grupos como para comunicaciones entre dos partes, eso
significa que deben ser protegidos de que se añadan nuevos miembros. Y si no,
el valor del cifrado es muy poco", sostuvo.
Un portavoz de WhatsApp confirmó a Wired los recientes
hallazgos, pero afirmó que nadie puede añadir secretamente un nuevo miembro a
un grupo, debido a que sus participantes son automáticamente notificados de
toda incorporación. Asimismo, negó que el atacante pudiera impedir o esconder
esa notificación.
Comentarios
Publicar un comentario