WhatsApp es la app que lidera la mensajería instantánea en móviles y tiene más de 3.000 millones de usuarios activos mensuales, casi un tercio de la población mundial. Aunque esta empezó por su cuenta en 2009, en 2014 fue comprada por Facebook por nada menos que 19.000 millones de dólares. No ha sido hasta hace poco cuando hemos visto los mayores cambios realizados en la popular aplicación por parte de Meta, como el añadido de la IA. Ahora se revela una verdad que muchos no esperaban y es que resulta que aunque WhatsApp promete cifrado de extremo a extremo, esto no ocurre con los mensajes en chats grupales.
Un equipo de investigadores confirmó este comportamiento en un análisis formal publicado recientemente [PDF] sobre la mensajería grupal de WhatsApp. Realizaron ingeniería inversa de la aplicación, describieron los protocolos criptográficos formales y proporcionaron teoremas que establecen las garantías de seguridad que ofrece WhatsApp. En general, dieron el visto bueno a la aplicación de mensajería, concluyendo que funciona de forma segura y según lo descrito por WhatsApp.
La app promete cifrado de extremo a extremo, lo que implica que los chats que tenemos en ella no van a ser leídos por nadie, ni siquiera por la propia empresa. Esto se cumple cuando tenemos chats individuales, pero se ha descubierto que en los grupos esto no existe, pues resulta que los chats grupales no tienen protección criptográfica.
Según Martin R. Albrecht, investigador del King's College de Londres, esto implica que el servidor de WhatsApp podría añadir personas nuevas a un grupo. En caso de que esto se realice y no se verifique si el miembro se ha añadido manualmente, este podrá acabar leyendo los mensajes.
Esto es una función peligrosa en caso de que se trate de un grupo de gran importancia, como podría ser entre miembros de funcionarios del Gobierno. En el caso teórico de que un administrador de WhatsApp tenga los suficientes privilegios como para añadir miembros adicionales ocurriría la desgracia, pues las personas que entrasen a través de él tendrían acceso a la lectura de los mensajes. Por norma general algo así no debería ocurrir, pero podemos extrapolarlo a una posible brecha de seguridad donde un ciberatacante tendría el control sobre esto.
Para poder añadir nuevos miembros a un chat grupal sin protección criptográfica habría que seguir esta serie de pasos:
- Un miembro envía un mensaje sin firma al servidor de WhatsApp donde indica los nombres de los miembros del grupo
- El servidor analiza y confirma dichas personas y las añade al grupo
- Los miembros de ese grupo deciden aceptar si los mensajes de los miembros añadidos y si los mensajes de ellos deben ser cifrados
Al no existir firmas criptográficas que verifiquen a un miembro existente que desee añadir a un nuevo miembro, cualquier persona con la capacidad de controlar el servidor o los mensajes que recibe puede añadir nuevos miembros. Utilizando el escenario ficticio común para ilustrar el cifrado de extremo a extremo, esta falta de seguridad criptográfica deja abierta la posibilidad de que un atacante se una a un grupo y acceda a los mensajes legibles que se intercambian allí.
WhatsApp no es la única aplicación de mensajería que carece de seguridad criptográfica para los nuevos miembros del grupo. En 2022, un equipo que incluía a algunos de los mismos investigadores que analizaron WhatsApp descubrió que Matrix, una plataforma de código abierto y propietaria para clientes y servidores de chat y colaboración, tampoco ofrecía métodos criptográficos para garantizar que solo los miembros autorizados se unieran a un grupo. Telegram, por su parte, no ofrece cifrado de extremo a extremo para los mensajes grupales, lo que la convierte en una de las aplicaciones más vulnerables a la hora de garantizar la confidencialidad de los mensajes grupales.
Debido a que no hay seguridad criptográfica, teóricamente podríamos ver como una persona nueva se une al grupo y accede a estos mensajes aunque sea un completo desconocido. Esto no ocurre en otras apps de mensajería como Signal, la cual si proporciona una gestión criptográfica para el administrador de los grupos. Los investigadores avisaron a WhatsApp y estos contestaron que seguirán añadiendo capas de protección y los usuarios tienen notificaciones de cuando alguien entra al grupo para identificar si es conocido y pertenece ahí o no.
Fuente: ArsTechnica