La gente usa WhatsApp para chatear con sus amigos y familiares porque es fácil de usar y es privado. Pero la app encriptada podría no ser tan privada como crees.
Los chats de grupo de WhatsApp pueden encontrarse fácilmente a través de una búsqueda en Google, porque el buscador está indexando los enlaces a las conversaciones que pretenden ser privadas.
Sólo hace falta una rápida búsqueda en Google para que cualquiera pueda unirse a una serie de chats de WhatsApp, incluidos los que se supone que son privados, según el estimado sitio de tecnología Vice, que fue el primero en dar la noticia.
Las conversaciones privadas de WhatsApp normalmente sólo son accesibles a través de un código de invitación entregado a los miembros del grupo por el moderador del chat. Pero este código es simplemente una cadena de texto y una URL, y parece que al menos algunas de ellas están siendo indexadas para que puedan ser encontradas por cualquiera a través de Google.
Puedes ver si alguno de tus chats privados es visible escribiendo chat.whatsapp.com y luego añadiendo algún detalle relacionado con el chat de grupo.
¿Qué ha pasado?
En Twitter ayer (21 de febrero), un periodista multimedia del medio alemán Deutsche Welle, Jordan Wildon lanzó una advertencia: «Tus grupos de WhatsApp pueden no ser tan seguros como crees»
Detalló que la función «Invitar a un grupo a través de un enlace» «permite que los grupos sean indexados por Google» y «están generalmente disponibles en todo Internet.»
En otras palabras, Wildon explicó: «Cualquier enlace de grupo que se comparta fuera de la mensajería segura y privada puede encontrarse con relativa facilidad y unirse a él.»
Y la cosa empeora: aunque no se haya compartido el enlace, dijo que «es posible, aunque difícil, ejecutar una especie de método de fuerza bruta para acceder a una URL que corresponda a un chat de grupo activo.»
La renombrada hacker ética Jane Manchun Wong lo confirmó en un tuit posterior, añadiendo que se pueden encontrar 470.000 resultados de búsqueda en Google para el término «chat.whatsapp.com» -una sección de la URL utilizada para las invitaciones de grupo de WhatsApp.
Muchos de los enlaces conducen a temas delicados como el porno, descubrió Vice. Una búsqueda superficial de este escritor encontró algunos enlaces similares fácilmente disponibles.
Si bien es cierto que algunos de los enlaces están destinados a ser abiertos al público, Vice también encontró chats que exponían los números de teléfono de 48 participantes en una conversación de grupo de WhatsApp entre lo que parecían ser organizaciones no gubernamentales acreditadas por las Naciones Unidas.
Me he puesto en contacto con el propietario de WhatsApp, Facebook, y con Google para pedirles un comentario y actualizaré esta historia si responden.
¿Por qué está ocurriendo esto?
Poco después de que se planteara la cuestión, el enlace de búsqueda pública de Google, Danny Sullivan, explicó lo que estaba ocurriendo. «Los motores de búsqueda como Google y otros listan páginas de la web abierta. Eso es lo que está ocurriendo aquí. No es diferente de cualquier caso en el que un sitio permite que las URLs sean listadas públicamente»
Pero el hacker ético @HackrzVijay dijo que había reportado el problema al propietario de WhatsApp, Facebook, en noviembre, y que Facebook no había hecho nada al respecto. De hecho, es una «decisión de producto intencionada», dijo Facebook, y los administradores de los grupos «pueden invalidar el enlace si así lo desean».
Además, aunque Facebook admitió que estaba «sorprendido» de que los enlaces fueran indexados por Google, dijo que no puede controlar lo que Google indexa.
Pero esto es malo, ¿no?
Desde luego no es lo ideal, sobre todo si usas WhatsApp para conversaciones delicadas. Jake Moore, especialista en ciberseguridad de ESET, dice que la posibilidad de encontrar chats con tanta facilidad es «totalmente horripilante»
«No puedo ver una razón beneficiosa de por qué cualquier parte vería esto como una buena idea. En todo caso, sólo hace que WhatsApp parezca menos seguro. Puede que esté encriptado en el medio, pero si te aceptan en un chat de grupo, tienes la clave de encriptación para seguir leyendo»
Aunque Moore no encontró ninguno de sus propios chats, buscó «The Girls» -el nombre de un grupo al que pertenecía su mujer- y encontró otros numerosos grupos con el mismo nombre que incluían conversaciones relacionadas con el porno.
Qué hacer
WhatsApp está cifrado de extremo a extremo, pero ahora es propiedad de Facebook, que está integrando Instagram, Facebook Messenger y WhatsApp en el extremo posterior.
Después de una serie de escándalos de datos, problemas de privacidad y violaciones, muchas personas no confían en Facebook, por lo que podría tener sentido probar otra cosa. Moore, de ESET, recomienda utilizar las aplicaciones de chat Signal o Telegram que, según él, «se centran más en la seguridad y la privacidad del usuario».
El investigador de seguridad Sean Wright está de acuerdo. Dice que cualquier persona preocupada por la privacidad debería probar Signal «ya que no parece que Facebook o Google vayan a hacer mucho al respecto»
Personalmente, estoy a favor de Signal, que está añadiendo una serie de características amigables para el consumidor y es súper segura y fácil de usar. Todo se reduce a lo que puedas persuadir a tus amigos y familiares. Tal vez mostrarles esta historia y ponerse de acuerdo sobre la mejor aplicación para todos ustedes.
–
Actualización 23 de febrero a las 03:20 ET
El problema parece haberse solucionado ahora en Google, lo que me han dicho que podría deberse a un cambio silencioso realizado por Facebook, propietario de WhatsApp. Me he puesto en contacto de nuevo con ambas empresas para que comenten y ofreceré más actualizaciones a medida que las escuche.
Sin embargo, el problema sigue existiendo cuando se utilizan otros motores de búsqueda importantes, y los moderadores de grupos de WhatsApp deben tener mucho cuidado. Jordan Wildon recomienda ir a la configuración del grupo, tocar «Invitar al grupo a través de un enlace» y luego «Restablecer enlace».
Esto no desactiva el enlace: genera uno nuevo, demostró en un tuit.
Sígueme en Twitter o LinkedIn.