Los grupos de WhatsApp permiten reunir hasta 256 usuarios en un mismo chat de conversación sin necesidad de pasar por el filtro de un administrador. Es que el creador del grupo puede añadir a nuevos usuarios a través de su teléfono o puede crear un enlace que habilite el ingreso a cualquiera que lo tenga.
En WhatsApp existen infinidad de grupos públicos que pueden encontrarse fácilmente realizando una simple búsqueda en la web. Si bien no en todos los grupos se creó un enlace de invitación, en aquellos en los que sí se hizo, cualquiera que acceda al enlace puede ingresar al grupo sin necesidad de identificarse.
Muchos no son conscientes del alcance que puede tener esta funcionalidad de la aplicación, pero la realidad indica que personas desconocidas pueden recopilar los mensajes de estos grupos, incluyendo el material que compartimos y también los números de teléfono.
Lo más importante es que no se trata de una vulnerabilidad, sino de un error de diseño, ya que la aplicación fue diseñada para permitir esta opción. Recientemente, dos investigadores que trabajaron con el objetivo de demostrar las posibilidades de los grupos públicos WhatsApp para recolectar información para el uso de investigaciones en ciencias sociales, fueron quienes dejaron en evidencia esta situación.
Se trata de Kiran Garimella de la Escuela Politécnica Federal de Laussane, en Suiza, quien junto a Gareth Tyson, de la Universidad Queen Mary del Reino Unido trabajaron en el borrador de un paper durante seis meses recolectando información de 178 grupos públicos, donde cada grupo tenía en promedio 143 participantes, que representaron 454.000 mensajes de más de 45.000 usuarios. En el documento se detalla cómo lograron recopilar toda la información de los grupos, además de los números de teléfonos, fotos, videos y enlaces que fueron compartidos. Asimismo, mostraron como cualquier persona, sin necesidad de ser experta en tecnología, puede ser capaz de obtener información valiosa de un grupo de WhatsApp utilizando simplemente un viejo smartphone que ejecute determinados scripts y otras aplicaciones adicionales.
Si bien solo se unieron a 178 grupos, los investigadores identificaron aproximadamente 2.000 grupos públicos realizando búsquedas en la web y utilizando una herramienta de automatización como Selenium. Ya dentro de los grupos, sus smartphones comenzaron a recibir largas cadenas de mensajes que WhatsApp almacenaba en el dispositivo. Una vez que comenzó a llenarse, para extraer los datos que fueron recopilando periódicamente y dado que estaban cifrados, tuvieron que utilizar la clave de cifrado que se encuentra almacenada dentro de la RAM del propio dispositivo móvil utilizando una técnica desarrollada por los investigadores indios L.P. Gudipaty y K.Y. Jhala.
Si bien el objetivo inicial de los investigadores era demostrar cómo se podía utilizarse WhatsApp para investigaciones en el campo de las ciencias sociales, su trabajo demostró lo fácil que puede ser para criminales, empresas o gobiernos aprovecharse de la aplicación de mensajería sin necesidad de un contrato ni costos.
Antecedentes recientes sobre vulnerabilidades en grupos de WhatsApp
En enero de este año, un artículo publicado por Wired informó acerca de una investigación realizada por un equipo de la Universidad de Ruhr en Alemania en la que se había detectado una vulnerabilidad que permitía infiltrarse en cualquier grupo de WhatsApp. El fallo identificado estaba relacionado con el sistema de invitación a los grupos, ya que se supone que solo el administrador puede sumar a nuevos integrantes. Sin embargo, dado que el proceso de invitación no exige que la persona se identifique, cualquier usuario que logre acceder a los servidores de WhatsApp podría adjudicarse permisos que le permitieran acceder al grupo y/o agregar a otros usuarios sin el consentimiento del administrador.
La realidad indica que es bastante complejo que alguien pueda aprovechar esta vulnerabilidad por la complejidad que representa acceder a un servidor de la aplicación de mensajería instantánea (salvo que sea un cibercriminal con muchos conocimientos o un empleado de Facebook o de WhatsApp). Pero el punto que quería resaltar el estudio era que cuando la aplicación de mensajería decidió poner la vara alta para el resto de las comunicaciones en cuanto a privacidad y agregó el cifrado punto a punto en todas las conversaciones, se olvidó de cuidar este aspecto. Y si bien parece difícil que suceda, en caso de que alguien pueda lograrlo podrá fácilmente vulnerar la confidencialidad de los grupos tan pronto como el nuevo integrante no deseado se sume y tenga acceso a los mensajes.
En este sentido, el investigador Paul Rösler opinó que, si hay cifrado punto a punto tanto para grupos como para las comunicaciones de dos partes, debería también haber una protección contra la adición de nuevos miembros.