Descubierto un grave fallo de seguridad en WhatsApp

El bug, revelado por un equipo de expertos informáticos, expone lo sencillo que es espiar nuestros chats tanto en Android como en iOS. | A pesar de que la aplicación más popular de mensajería instantánea, WhatsApp, cuenta con cifrado de extremo a extremo y que, uno de los principales atractivos de la misma sea su compromiso con la privacidad y la seguridad, un equipo de expertos ha descubierto una vulnerabilidad que permite, a través de Google, que una persona pueda unirse a cualquier chat grupal de WhatsApp.

¿Cómo es posible?

Se supone que la encriptación de los mensajes de extremo a extremo significa que solo los participantes de una conversación o grupo de chat pueden acceder al contenido de los mensajes y la información del usuario. Al menos, eso pensábamos.

Sin embargo, es posible encontrar enlaces de WhatsApp que conducen a grupos cerrados con una simple búsqueda en Google. Así es: Google permite que los usuarios puedan encontrar invitaciones a grupos privados y unirse sin ningún tipo de problema. Se han indexado enlaces a grupos de WhatsApp, exponiendo las conversaciones, archivos, números de teléfono y otros datos de los miembros de estos grupos supuestamente privados.

Aunque los administradores del grupo de WhatsApp pueden invalidar un enlace a un chat, la aplicación lo que hace es generar un nuevo enlace y no necesariamente deshabilita el enlace original al chat grupal. Aparentemente, los usuarios solo tienen que hacer una búsqueda en Internet utilizando el dominio chat.whatsapp.com, seguido de cualquier palabra clave para encontrar los grupos privados. Cada vez que el administrador de un grupo genera un enlace de invitación y lo envía, dicha url queda registrado en el buscador de Google, permitiendo que cualquiera pueda encontrarlo.

Tras la indignación en las redes sociales por parte de los usuarios al conocerse la noticia, los enlaces han sido eliminados de los resultados de búsqueda de Google.

Sin embargo, a pesar de esta acción, los archivos de Internet disponibles al público siguen almacenando datos, tal y como descubrió el investigador de seguridad Lav Kumar, que reunió y organizó más de 60.000 enlaces únicos, que aún se pueden encontrar en una gran cantidad de webs.

Sin unirse activamente a un grupo es posible ver el título, descripción, imagen y número de teléfono del creador: están disponibles para todos. Y si entras a un grupo, podrás ver los números de teléfono de hasta 256 participantes, así como otra información, y añadir estos números a los contactos hará que se expongan también sus nombres en la aplicación.

WhatsApp, cada vez más cuestionada

La aplicación ha experimentado otros problemas relacionados con la seguridad en los últimos meses. Según los informes, un presunto hackeo al teléfono del jefe de Amazon Jeff Bezos en 2018 se llevó a cabo a través de un mensaje de WhatsApp infectado con malware. Y en mayo pasado, se descubrió que una vulnerabilidad de la aplicación se estaba utilizando para inyectar spyware en teléfonos Android e iOS a través de llamadas telefónicas de WhatsApp. Incluso la UE y la ONU recomiendan no usar el popular servicio de mensajería ante estas múltiples evidencias que ponen la confianza del usuario en WhatsApp pendiendo de un hilo.

Los usuarios pueden protegerse de estos defectos manteniendo su aplicación siempre actualizada y evitando el uso de WhatsApp Web, la versión para escritorio, y probando algunas alternativas al uso de esta plataforma, como Telegram o Signal.

¿Que opinas sobre esto?