Parecía que desde que Whatsapp implantó su sistema de cifrado de extremo a extremo hace dos años, ese que decían que blindaba las conversaciones para que quedaran solamente entre emisario y receptor, la privacidad de sus usuarios estaba garantizada. Pero parece que no es del todo así, por lo menos así lo han sugerido un grupo de criptógrafos de la Universidad de Ruhr Alemania que, al parecer, han descubierto una forma de esquivar esa barrera y entrar en los grupos sin permiso de su administrador. 
Los investigadores Paul Rösler, Christian Mainka y Jörg Schwenk explican en el artículo "More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema" en castellano, "Más es menos: sobre la seguridad integral de los chats grupales en Signal, WhatsApp y Threema" que el fallo que encontraron en la app de Whatsapp es más significativo que en Signal o Threema.
El problema reside en que no existe ningún sistema de autenticación seguro que no se pueda falsificar para agregar personas nuevas a un grupo. Según cuentan, cualquier persona con acceso al servidor de Whatsapp –es decir, un hacker experto, una agencia del gobierno o un empleado del propio Whatsapp– podría aprovechar esto para introducirse a uno mismo en un grupo y leer los mensajes nuevos a los antiguos, afortunadamente, no se puede acceder.
Un error sencillo y aparentemente inofensivo pero que los criptógrafos consideran crucial y preocupante para los millones de usuarios de esta app de mensajería en el mundo. De hecho, "la confidencialidad del grupo se rompe tan pronto como el miembro no invitado puede obtener todos los mensajes nuevos y leerlos", recuerda Rösler.
¿Pero qué pasa con el mensaje que alerta de la entrada de un nuevo usuario al grupo? Según los investigadores, gracias a que el hacker controlaría el servidor, tampoco tendría ningún problema en almacenar los mensajes en caché o eliminarlos para evitar que el resto de miembros los vean incluido el que alerta de su llegada. Por su parte, un portavoz de Whatsapp ha confirmado eliminarlos el hallazgo de los investigadores.
No obstante, la empresa —propiedad de Facebook desde febrero de 2014 al desembolsar 19.000 millones de dólares— pone en duda que un supuesto atacante pudiera controlar el servidor hasta ese punto y propone que, sencillamente, que el administrador original alerte por mensaje privado al resto de miembros si se da cuenta de lo sucedido.
Pero Rösler y sus compañeros, que alertaron a Whatsapp de su fallo el julio pasado, insisten en que podría acarrear consecuencias graves en un sistema que, en general, es muy seguro. Quizá por ello, y mientras la app de mensajería no se decida a blindar del todo las conversaciones de sus usuarios, los más celosos de su intimidad siguen pasándose a otras más seguras como Signal o Telegram.