¿Puede un tercero leer tus mensajes de WhatsApp sin que lo sepas? Con el cifrado de extremo a extremo parecía imposible, pero un grupo de criptógrafos de la Universidad de Ruhr, en Alemania, ha descubierto un fallo que lo permite. No, no han roto el cifrado de WhatsApp: han encontrado la manera de saltárselo.

Cuando WhatsApp se pasó al sistema de cifrado de extremo a extremo hace dos años, dejó una pequeña puerta abierta que un atacante con acceso al servidor podría aprovechar.



Solo un hacker muy sofisticado, un empleado de la empresa o quizá una agencia del gobierno con una orden judicial serían capaces de entrar por esa puerta, pero las implicaciones son graves: los atacantes podrían tomar el control de cualquier grupo y leer los mensajes de sus miembros en la sombra.

Así lo resumen los investigadores en un artículo titulado Más es menos: sobre la seguridad integral de los chats grupales en Signal, WhatsApp y Threema:



Las debilidades descritas permiten al atacante A, que controla el servidor de WhatsApp o ha conseguido romper la seguridad de la capa de transporte, tomar el control total sobre un grupo.

Ingresar al grupo deja huella, ya que la operación se refleja en la interfaz gráfica de usuario, pero el servidor de WhatsApp puede reordenar y soltar los mensajes de forma sigilosa en el grupo. De este modo, [el atacante] podría almacenar en caché los mensajes enviados al grupo, leer su contenido primero y decidir en qué orden se entregan a los miembros.

Además, el servidor podría reenviar estos mensajes a los miembros de forma individual, de modo que una combinación de mensajes elegida sutilmente podría ayudarlo a cubrir su rastro.

Indica la web Gizmodo que el ataque se aprovecha de un error bastante simple: si bien el administrador de un grupo es la única persona capaz de añadir nuevos miembros al grupo, el proceso de invitación no emplea ningún mecanismo de autenticación que los propios servidores de WhatsApp no puedan falsificar. “Basta” con tomar el control del servidor para otorgarse a uno mismo los permisos necesarios y agregar nuevos usuarios al grupo.