Una reciente investigación revela que los mensajes en grupos de WhatsApp carecen de cifrado extremo a extremo, dejando la puerta abierta a riesgos de seguridad y privacidad.
WhatsApp, la aplicación de mensajería más popular del mundo con más de 3.000 millones de usuarios activos mensuales, vuelve a estar en el centro de la polémica. A pesar de haber construido su reputación sobre la promesa de proteger la privacidad de los usuarios mediante el cifrado de extremo a extremo, una nueva investigación académica ha destapado que esta protección no se aplica plenamente a los chats grupales.
El hallazgo, realizado por Martin R. Albrecht, investigador del King’s College de Londres, pone en entredicho la seguridad de las conversaciones en grupo dentro de la plataforma. Según su análisis, aunque los chats individuales sí están cifrados punto a punto, los mensajes grupales pueden ser intervenidos de forma indirecta por el servidor, lo que permitiría la incorporación de nuevos miembros al grupo sin el consentimiento expreso de los participantes.
Una puerta trasera en los grupos de WhatsApp
La vulnerabilidad radica en la forma en que se gestionan los grupos. Técnicamente, el servidor de WhatsApp puede añadir nuevos usuarios a un grupo sin que exista una verificación criptográfica firme que lo impida. En la práctica, esto significa que un actor con acceso al servidor —ya sea un administrador con privilegios elevados, un empleado malintencionado o incluso un atacante externo en caso de una brecha de seguridad— podría incluir a un nuevo participante, el cual tendría acceso inmediato a los mensajes compartidos.
Aunque WhatsApp notifica a los usuarios cuando alguien se une a un grupo, esta medida no impide que los mensajes anteriores sean leídos por el nuevo miembro. Además, en grupos grandes, esta notificación puede pasar desapercibida, especialmente si se trata de una inclusión aparentemente legítima.
Implicaciones graves para la seguridad institucional y empresarial
Este fallo en el modelo de seguridad podría tener consecuencias importantes en contextos sensibles. En chats grupales entre funcionarios del gobierno, personal de organismos públicos o empleados de empresas con información crítica, la posibilidad de que un intruso acceda a la conversación representa un riesgo real.
La falta de firma digital en los mensajes que notifican la incorporación de miembros, combinada con la ausencia de una validación por parte de todos los participantes, rompe el esquema de confianza en el que se basan las comunicaciones cifradas.
Apps como Signal —reconocida por su firme compromiso con la privacidad— sí implementan un control criptográfico sobre los cambios en la membresía de los grupos, lo que impide cualquier adición sin verificación y notificación verificable por todos los participantes.
Meta responde: más promesas, pocas garantías
Ante la alerta de los investigadores, Meta, empresa matriz de WhatsApp, respondió que continuará trabajando en nuevas capas de protección y destacó que las notificaciones de ingreso al grupo están diseñadas para alertar a los usuarios ante cualquier incorporación sospechosa. Sin embargo, la compañía no reconoció ninguna vulnerabilidad técnica ni se comprometió públicamente a implementar controles criptográficos más estrictos como los de Signal.
Este enfoque ha sido criticado por expertos en seguridad, que consideran insuficiente basarse en la “vigilancia del usuario” como única defensa ante una posible intromisión. En un contexto donde las amenazas son cada vez más sofisticadas, se espera que las plataformas tecnológicas ofrezcan garantías técnicas sólidas, no solo buenas intenciones.
¿Qué pueden hacer los usuarios?
Mientras Meta no introduzca mejoras técnicas reales, los usuarios preocupados por la privacidad en chats grupales deben considerar las siguientes recomendaciones:
- Evitar compartir información sensible en grupos de WhatsApp, especialmente en contextos laborales o gubernamentales.
- Utilizar alternativas más seguras como Signal o Threema para comunicaciones delicadas.
- Verificar manualmente a los nuevos miembros que se unan a un grupo y preguntar quién los ha añadido.
- Mantener la app actualizada, ya que futuras versiones podrían incluir mejoras de seguridad.
Conclusión
La revelación de que los chats grupales de WhatsApp no están completamente cifrados pone en tela de juicio la seguridad de una aplicación que ha hecho de la privacidad uno de sus argumentos de marketing más poderosos. En un contexto global cada vez más sensible a la protección de los datos y al control digital, este tipo de inconsistencias puede tener un alto coste reputacional.
Meta deberá decidir si prefiere proteger realmente la privacidad de sus usuarios o seguir apostando por soluciones a medias que confían, una vez más, en que el usuario no leerá la letra pequeña.
vía: ARsTechnica
