Un grupo de investigadores de criptografía de la Universidad Rühr de Bochum (Alemania) ha descubierto un 'bug' en WhatsApp a través del que es posible entrar sin permiso en un grupo privado de la aplicación a través de la falsificación del mecanismo de verificación de invitaciones desde los servidores de la 'app', si estos son 'hackeados'.

WhatsApp implementó en abril de 2016 el sistema de cifrado 'end-to-end' ('extremo-a-extremo'), buscando reforzar al máximo la protección de sus mensajes, contenidos multimedia, llamadas o chats en grupo. Sin embargo, investigadores de la Universidad Rühr de Bochum (RUB) han descubierto fallos en el proceso de encriptado de aplicaciones como Signal, Threema o WhatsApp que, en el caso de esta última, permitiría a quien sea capaz de acceder a sus servidores introducir a una persona en un chat grupal privado sin el permiso de su administrador.

Según recoge el portal Wired, esta vulnerabilidad tiene su origen en un 'bug' de la aplicación, que no utiliza ningún mecanismo de verificación de invitaciones a grupos que sus propios servidores no puedan falsificar. De esta forma, si un atacante controla un servidor de WhatsApp, puede utilizarlo para añadir de forma sencilla un nuevo miembro al grupo sin la intervención del usuario que lo administra.

Además, los investigadores alemanes han verificado que desde el servidor 'hackeado' es posible bloquear la aparición de mensajes como, por ejemplo, advertencias por la presencia de una persona no deseada en la conversación, o falsificar notificaciones para engañar al administrador y que este piense que el intruso ha sido invitado por otra persona del grupo.

Un portavoz de WhatsApp ha confirmado al citado portal la existencia de esta vulnerabilidad, pero ha asegurado que la adición de una persona a un grupo no se puede realizar de forma secreta, ya que siempre aparece una notificación que avisa de la incorporación de un nuevo usuario a la conversación colectiva.