Con el cifrado de extremo a extremo, WhatsApp calmó las preocupaciones de los usuarios sobre la posibilidad de que sus conversaciones pudieran ser vistas por algún hacker, pero este sistema de protección sólo es útil cuando se trata de una comunicaciones uno a uno, en el caso de grupos existen riesgos.
Según una investigación de un equipo de criptógrafos de la Universidad Ruhr Bochum en Alemania, los defectos en WhatsApp hacen que infiltrarse en los chats grupales de la aplicación sea mucho más fácil de lo que debería ser.
De acuerdo con su análisis cualquiera que controle los servidores de WhatsApp podría insertar fácilmente nuevas personas en un grupo privado, incluso sin el permiso del administrador.
Se trata de un error simple. Dado que el administrador de un grupo puede invitar a nuevos miembros sin utilizar ningún mecanismo de autenticación, quien tenga acceso a los servidores puede agregar a alguien quien automáticamente tendrá acceso no solo a los futuros mensajes sino a la información de los participantes.
Si bien, al agregar un número a la conversación se envía un mensaje a todo el grupo, siendo esta la única medida de protección, los investigadores advierten que los piratas informáticos podrían detener el envío de este y otros mensajes a su antojo. Y en grupos con administradores múltiples, el servidor secuestrado podía falsificar diferentes mensajes para cada administrador, haciendo que pareciera que otro había invitado al hacker, para que ninguno generara una alarma.
Luego de difundir esta información, el medio WIRED, se acercó con WhatsApp quien confirmó los hallazgos de los investigadores, pero enfatizó que nadie puede agregar secretamente un nuevo miembro a un grupo.
Por su parte, los investigadores alemanes señalaron que alertaron a WhatsApp sobre el problema de la seguridad de los mensajes grupales en julio pasado, pero la respuesta fue que el error de invitación grupal que encontraron era simplemente “teórico” y ni siquiera calificaban para el llamado programa de recompensa de errores administrado por Facebook, propietario corporativo de WhatsApp, en el cual los investigadores de seguridad reciben pagos por informar defectos pirateables en el software de la compañía.
Claro que, dado que el primer paso es controlar el servidor, este tipo de ataques estaría limitado a realizarse por piratas informáticos sofisticados y empleados de WhatsApp, aunque también por gobiernos que legalmente obligan a la compañía a darles acceso.