En WhatsApp puedes entrar en un chat ajeno sin hackear — simplemente porque es WhatsApp

La función de chats grupales en WhatsApp se ha considerado durante mucho tiempo segura gracias al cifrado de extremo a extremo. Sin embargo, una nueva investigación revela que falta un elemento crítico de protección, lo que en ciertos escenarios puede provocar filtraciones graves de información confidencial.

El análisis, realizado por científicos, incluyó ingeniería inversa de los protocolos, descripción de los mecanismos criptográficos y verificación matemática de la solidez de WhatsApp. El veredicto general fue positivo: la app funciona como promete. Pero un detalle generó alarma: en los chats grupales, WhatsApp no implementa verificación criptográfica al añadir nuevos miembros. Esto significa que el servidor de la aplicación puede agregar a cualquier persona a cualquier grupo sin que los usuarios puedan evitarlo o verificar quién realmente hizo el cambio.

La situación se agrava porque los clientes no firman los mensajes sobre la composición del grupo. La adición de un nuevo miembro funciona así: cualquier integrante del grupo envía al servidor un mensaje sin firmar con la nueva lista de miembros, el servidor distribuye la notificación y los clientes simplemente muestran el cambio — sin comprobar quién lo inició. Como resultado, cualquiera con control sobre el servidor o capaz de interceptar los mensajes puede insertar silenciosamente un nuevo participante. Esto incluye tanto empleados con privilegios como amenazas externas, por ejemplo un hacker con acceso a la infraestructura de WhatsApp.

Aunque el sistema muestra notificaciones sobre nuevos integrantes, en grupos grandes —que pueden tener cientos de personas— estos cambios suelen pasar desapercibidos. En el mejor de los casos, los usuarios notan un nuevo nombre, pero no pueden saber quién lo invitó.

Este problema no es solo teórico. En un reciente incidente que sacudió los círculos políticos de EE. UU., el exasesor de seguridad nacional Mike Waltz añadió por error al editor jefe de The Atlantic, Jeffrey Goldberg, a un chat secreto con altos funcionarios. Nadie notó el fallo y el periodista accedió a mensajes sobre una operación militar. Curiosamente, esto ocurrió en Signal, que sí tiene verificación criptográfica, pero no se comprobó la identidad del nuevo miembro.

Los investigadores subrayan que incluso con soluciones más seguras, los usuarios deben verificar la autenticidad de las cuentas. Signal ofrece un sistema de verificación mediante “números de seguridad” —códigos únicos para comparar claves fuera de la app. Pero si este paso se omite, todo queda en confiar en el nombre visible en el chat —lo que no impide a un atacante hacerse pasar por, digamos, “Alicia” y leer la conversación.

La diferencia entre Signal y WhatsApp es clara en cuanto a seguridad grupal. Signal usa un concepto llamado GroupMasterKey —una clave criptográfica generada por el administrador y desconocida para el servidor. Esta clave firma todos los cambios en el grupo. Solo con una firma válida los clientes aplican el cambio y actualizan el cifrado. Así, solo usuarios confiables pueden añadir miembros, y el servidor queda excluido del proceso.

En WhatsApp no existe ningún mecanismo equivalente. Es más, el servidor tiene acceso completo a la lista de miembros y puede compartirla con sistemas internos o autoridades si se presenta una solicitud legal. Signal, en cambio, ni siquiera permite al servidor conocer quién está en el grupo, lo que mejora significativamente la privacidad.

Los investigadores también indican que WhatsApp no es el único mensajero popular con gestión insegura de grupos. En 2022, el mismo equipo descubrió un problema similar en Matrix —una plataforma de código abierto usada incluso en entornos gubernamentales y corporativos.

Aunque la probabilidad de explotación en chats personales es baja, el riesgo en conversaciones de funcionarios, periodistas, diplomáticos o activistas es real. Basta un miembro infiltrado para comprometer toda la discusión.

WhatsApp respondió al estudio agradeciendo a los autores su trabajo. La empresa recordó que los usuarios reciben notificaciones al añadirse nuevos miembros y que pueden activar alertas sobre cambios de claves de seguridad. Además, prometieron seguir implementando más medidas de protección. No obstante, sin control criptográfico sobre la gestión de grupos, el mensajero sigue siendo vulnerable justo donde más importa.