Tecnologia

Falla en WhatsApp permite entrar sin permiso a chats grupales

La compañía de ciberseguridad Kaspersky Lab destacó la dificultad que supone aprovechar cierta vulnerabilidad en aplicaciones de mensajería como WhatsApp, a través de la cual es posible introducir sin permiso a una persona en un grupo privado.

El analista senior de Kaspersky, Victor Chebyshev, explicó que la vulnerabilidad supone “una amenaza seria”, especialmente para aquellos usuarios de las aplicaciones que comparten información confidencial en los chats grupales.

El representante de la firma rusa comentó que para entrar ilegalmente a estas conversaciones, es necesario tener acceso primero al correspondiente servidor de la ‘app’.

Chebyshev recordó que el análisis presentado por el equipo de criptógrafos de la Universidad Rühr de Bochum (Alemania), descubridores de la falla, “no proporciona un ejemplo real del ataque” y ha añadido que ‘hackear’ estos servidores “no es fácil desde una perspectiva técnica”, por lo que necesita “mucho tiempo y esfuerzo”.

Esta vulnerabilidad afecta a ‘apps’ como WhatsApp, Threema o Signal, que no utilizan mecanismos de verificación de invitaciones a grupos que sus propios servidores no puedan falsificar, por lo que quien acceda a estos puede incorporar más personas al chat sin la intervención de su administrador. Además, el atacante puede bloquear la aparición de mensajes de advertencia o falsificar las notificaciones que informan de la adición de un usuario más al grupo.

El analista senior de Kaspersky Lab ha explicado que para poder obtener los mismos resultados, los ciberdelincuentes tienen una alternativa “mucho más fácil” si ‘hackean’ directamente el dispositivo móvil de un miembro del grupo, sin necesidad de conseguir el control del servidor.

Para evitar este tipo de ataques, Kaspersky ha recomendado a los usuarios controlar manualmente si se añaden nuevos miembros a los chats grupales, evitar compartir información personal confidencial a través de los mismos e instalar una solución de seguridad en el dispositivo.