Alerta
Falla de WhatsApp permite espiar a los chats grupales
Una falla de seguridad en WhatsApp deja la puerta abierta para que un intruso se infiltre en un grupo de chat grupal, al tener el control de los servidores del servicio de mensajería, advirtió un equipo de criptógrafos alemanes.
WhatsApp deja un espacio abierto para que puedan violentar la intimidad de los grupos.
Foto: Archivo El Litoral
Redacción de El Litoral
Télam
El mecanismo de ataque se aprovecha de “un simple error”, detallaron los investigadores de la Universidad Ruhr de Bochum en Alemania, quienes presentaron un estudio sobre las vulnerabilidades en las aplicaciones de mensajería con protocolo de encriptación (incluyendo a WhatsApp, Signal y Threema) en la conferencia de seguridad Real World Crypto, que se desarrolla en la ciudad suiza de Zurich.
Sólo el administrador de un grupo de WhatsApp puede invitar a nuevos miembros, pero este servicio no usa ningún mecanismo para que esa invitación no pueda ser falsificada por sus propios servidores, explicaron. Entonces -agregaron- al tomar control del servidor se puede agregar un nuevo miembro a un grupo sin interacción por parte del administrador, y luego el intruso tendrá acceso completo a cualquier mensaje futuro (los mensajes enviados antes de una invitación no se pueden ver).
El equipo argumenta que sus descubrimientos socavan las declaraciones de seguridad de WhatsApp -propiedad de Facebook desde 2014- para las conversaciones grupales en distintos niveles. “La confidencialidad del grupo se rompe tan pronto como el miembro no-invitado puede acceder a todos los nuevos mensajes y leerlos”, sostuvo Paul Rösler, uno de los investigadores de la Universidad, que es coautor de un documento sobre las vulnerabilidades de la mensajería grupal, en declaraciones a la publicación especializada Wired.
Cifrado
WhatsApp implementa el cifrado de extremo a extremo en su aplicación, lo que significa que sólo el emisor y el receptor pueden leer los mensajes enviados, “y que nadie más, ni siquiera WhatsApp, lo puede hacer”, sostiene la compañía en su blog.
Asimismo, establece que los mensajes “se aseguran con un candado y solo el emisor y el receptor cuentan con el código/llave especial” para abrirlos y leerlos. Cuando un nuevo miembro se une a un grupo, el resto de los que lo integran ven un mensaje con la notificación.Ahora bien, en caso de que el administrador esté atento, podrá advertir a los otros miembros sobre una intrusión o el mensaje de invitación falsificado.
Sin embargo, los investigadores alemanes señalaron varios trucos que podrían usarse para retrasar la detección. Una vez que un atacante con control del servidor de WhatsApp tiene acceso a la conversación, podría también usar el servidor para bloquear selectivamente cualquier mensaje en el grupo, incluidos los que hacen preguntas o advertencias sobre el nuevo participante.
“Puede guardar en caché el mensaje y después decidir qué se envía a quién y qué no”, sostuvo Rösler. Y en el caso de grupos con múltiples administradores, el servidor comprometido podría falsificar diferentes mensajes para cada administrador, haciendo que parezca que otro invitó al espía, así no se genera alarma alguna. Incluso podría evitar que un administrador intente eliminar al intruso si el grupo lo descubre, indicaron los investigadores. Un vocero de WhatsApp le confirmó a Wired el descubrimiento de los criptógrafos, pero enfatizó que nadie puede agregar de forma secreta un nuevo miembro a un grupo (se notifica que un nuevo miembro desconocido fue unido al grupo).
Si un administrador detecta una nueva adhesión sospechosa al grupo, siempre puede avisarle a los otros miembros a través de otros grupos o en mensajes individuales.
“Analizamos este tema de forma muy cuidadosa”, indicó otro vocero de WhatsApp en un mail a la misma publicación, y sostuvo que “los miembros actuales reciben una notificación cuando se agregan nuevas personas a un grupo de chat”.
“La privacidad y la seguridad de nuestros usuarios es increíblemente importante para nosotros. Es por eso que recopilamos muy poca información y todos los mensajes enviados están encriptados de extremo a extremo”, aseguró.
Matthew Green, profesor de criptografía de la Universidad de Johns Hopkins, revisó la investigación e indicó que la técnica no sería una estrategia sigilosa a largo plazo para el espionaje gubernamental, en tanto que tarde o temprano los usuarios notarían que personas extrañas aparecen en sus chats.
“Pero la posibilidad de detección no es una solución adecuada para el problema subyacente de WhatsApp”, argumentó Green.
“Es como dejar la puerta de entrada de un banco desbloqueada y después decir que nadie va a robar porque hay una cámara de seguridad”, agregó. Los investigadores de la Universidad de Ruhr afirmaron haber reportado a WhatsApp sobre el problema de la seguridad de los mensajes grupales en julio pasado. En respuesta a su reporte, el personal de WhatsApp les dijo a los investigadores que el error que encontraron ni siquiera calificaba para el llamado programa de recompensa de errores administrado por Facebook, en el que se les paga a los investigadores de ciberseguridad por informar sobre fallas de software de la empresa.
Olvidar contraseñas, un problema grande
Las cuentas bancarias online, las aplicaciones de pago y las compras vía web son las cuentas que los usuarios consideran que deben estar mejor protegidas con contraseñas seguras, pero dos de cada cinco personas no logra restaurarlas cuando las olvidan, según la investigación de una empresa de ciberseguridad.
El trabajo de la firma Kaspersky se hizo en base a encuestas realizadas en 32 países de los cinco continentes, donde se entrevistó a 21.081 personas.
Así, el 63% de los consumidores seleccionó las cuentas bancarias online, el 42% las aplicaciones de pago, incluidas las billeteras electrónicas, y 41% las compras en Internet como las cuentas que requieren contraseñas más sólidas.
“Sin embargo, la dificultad de recordar todas estas contraseñas seguras significa que es probable que las personas las olviden. Dos de cada cinco personas (38%) no pueden restaurarlas después de perderlas”, reveló el ilnforme.
En cuanto al almacenamiento de passwords, más de la mitad de los usuarios, el 51%, reveló que los almacena de forma insegura, y una cuarta parte (23%) las escribe en una libreta para no tener que recordarlas, lo que “también pone en riesgo su seguridad”, dijo la empresa.
Añadió que “algunas personas están desarrollando otros hábitos de contraseña inseguros. Por ejemplo, 10% utiliza solo una contraseña para todas las cuentas, lo que les permite vivir sus vidas en línea sin problemas, ya que no tienen que esforzarse por recordar cómo iniciar sesión”.
Empero, “no hay problemas hasta que un ciberdelincuente se apodere de esa contraseña única y desbloquee todo para tomar ventaja”, señaló la compañía.
De hecho, el 17% de los encuestados por Kaspersky contó que sufrió amenazas o tuvo una cuenta online hackeada en los últimos 12 meses.
Los correos electrónicos son las cuentas más atacadas (41%), seguidas de cerca por las redes sociales (37%), las cuentas bancarias (18%) y las de tiendas en línea (18%).
“Recordar las contraseñas seguras es difícil, lo que significa que los usuarios enfrentan ese dilema todos los días, y a menudo las olvidan o terminan creando otras que son fáciles de recordar, pero también fáciles de hackear”, comentó Andrei Mochola, director de negocios con el consumidor de la empresa.
