WhatsApp es sin duda el programa de mensajería más utilizado. Por ello cuando hablamos de algún fallo de seguridad es más que importante para los usuarios. Hoy nos hacemos eco de una revelación sobre este programa relacionado con los chats grupales. Concretamente un usuario ajeno podría leer en secreto estos grupos pese a que estén cifrados de extremo a extremo. Un fallo alarmante para muchos usuarios.
Espiar un grupo de WhatsApp
El objetivo principal de tener un cifrado de extremo a extremo es dejar de confiar en los servidores intermedios de tal manera que nadie, ni siquiera la empresa o el servidor que transmite los datos, puede descifrar los mensajes o abusar de su posición centralizada para manipular el servicio.
En otras palabras, si tenemos en cuenta el peor de los casos, un empleado corrupto de la empresa no debería poder espiar la comunicación cifrada de extremo a extremo de ninguna manera.
Esta fue una novedad que como sabemos introdujo WhatsApp. Algo que anteriormente no estaba implantado y que era muy demandado por muchos usuarios.
Sin embargo, hasta ahora, incluso los populares servicios de mensajería cifrados de extremo a extremo, como WhatsApp, Threema y Signal, no han logrado completamente el sistema de reconocimiento cero.
Fallo descubierto
Investigadores de la Ruhr-Universität Bochum (RUB) en Alemania han descubierto que cualquiera que controle los servidores de WhatsApp o Signal podría agregar miembros nuevos de manera encubierta a cualquier grupo privado, lo que les permite espiar las conversaciones grupales, incluso sin el permiso del administrador.
Según explicaron los investigadores en una comunicación, el servidor desempeña un papel limitado. En el caso de los chats con varios usuarios (cualquier grupo), el rol de los servidores aumenta para administrar todo el proceso.
Ahí es donde reside el problema, es decir, confiar en los servidores de la empresa para administrar a los miembros del grupo (que finalmente tienen acceso total a la conversación grupal) y sus acciones.
Como explican desde la RUB, tanto Signal como WhatsApp no autentican correctamente a quien está agregando un nuevo miembro del grupo. Por ello es posible que una persona no autorizada, no un administrador de grupo o incluso un miembro del grupo, agregue a alguien al chat grupal.
Silencioso
Lo que es más significativo aún es que al agregar a un nuevo miembro al grupo, no aparece en el chat. Es decir, los usuarios legítimos del mismo no se darían cuenta de que ha entrado otra persona.
Según los investigadores, un empleado corrupto o administrador con acceso al servidor podría manipular (o bloquear) los mensajes de administración de grupo que se supone que alertan a los miembros del grupo de un nuevo miembro.
Los investigadores también recomendaron a las empresas que solucionen el problema. Simplemente tienen que agregar un mecanismo de autenticación. Así se aseguran de que los mensajes de administración de grupo “firmados” provengan solo del administrador del grupo.
En definitiva, los grupos de WhatsApp no son tan seguros como podamos imaginar pese al cifrado de extremo a extremo. Aun así, está claro que salvo que estemos en un grupo con gente muy selecta y que alguien tenga interés en espiar, no nos va a afectar.
El último bulo de WhatsApp
Un último bulo de WhatsApp acaba de ser destapado. El mensaje lleva unos días circulando por los chats de esta aplicación de mensajería instantánea. En dicho texto se alerta sobre uno de los trucos usados por los ladrones para entrar a robar a las casas en las últimas semanas. Pero desde las autoridades no tienen conocimiento de que esta situación se esté produciendo.
En un mensaje publicado en Twitter, se cuenta que los malechores están asaltando las viviendas con una supuesta orden judicial mediante el reconocimiento del ID (Cédula de Identidad). Sin embargo, esta táctica de identificación de cada persona no es la manera de actuar en estos casos.
Tal como señalan, el mensaje con el bulo de WhatsApp sobre robos en casas no es verdad. Como suele suceder en este tipo de casos, para detectar las noticias hay que prestar atención a determinados detalles.
Te contamos cuáles son:
- Para empezar, hablan de una "cédula de identidad" como el supuesto documento que muestran para acceder a las viviendas. Este término no se utiliza para referirse a ninguno de los documentos oficiales de identificación.
- 911. El teléfono de contacto que aparece en la supuesta orden judicial corresponde al teléfono de emergencia para el Plan de Numeración Norteamericano (North American Numbering Plan - NANP).
Recomendamos mantener la seguridad de nuestro entorno y no difundir noticias que nos lleguen por cualquier vía a través de Internet, comprobar su veracidad y si no estás seguro, no compartir, puesto que podrían tratarse de bulos de WhatsApp.
