Telegram no es tan seguro como parecía, según un informe

Según el Informe de amenazas: CCN-CERT IA-23/17 Riesgos de uso de Telegram presentado ayer por el organismo alerta de los riesgos del uso de esta popular red social, alternativa a Whatsapp y uno de sus principales rivales. Esta plataforma se caracteriza por emplear un protocolo de comunicaciones propio centrado en la multisesión y la multiplataforma que se ha convertido en uno de los blancos de los ciberdelincuentes. Este protocolo, denominado MTProto, ha sido desarrollado a partir de un estándar abierto, y está basado en una API en Java. A su favor hay que decir que aún no se ha logrado romper públicamente.

El informe señala que una de las principales debilidades de la plataforma es su proceso de registro, es decir que al compartir los números de teléfonos necesarios para la comunicación, se comparten también demás datos asociados al mismo.  Los usuarios no pueden controlar con quién se comparte, ni tampoco el uso que se hace de sus datos. En este aspecto hay que tener en cuenta los metadatos que los servidores de Telegram pueden almacenar que podrían desvelar con quién habla el usuario y en qué momento, su ubicación o la dirección IP que utiliza.

Otra de las vulnerabilidades de Telegram es una de sus variedades de cifrado: Cloud Chat. Este sistema es activado por defecto y no utiliza el sistema E2E (a diferencia de los chats secretos, que sí lo hacen) lo que hace que los usuarios deban confiar en los sistemas de almacenamiento seguro y en la política de privacidad y seguridad de Telegram. Un atacante podría engañar a un usuario con técnicas de ingeniería social o conseguir acceso a su teléfono para obtener las conversaciones y ficheros compartidos que no cuenten con cifrado E2E, accediendo a todas las conversaciones de los cloud chats. Además, mediante herramientas como la interfaz web de Telegram o descargando una utilidad de backup de conversaciones se puede descargar todo lo guardado en los servidores.

Asimismo, diversas vulnerabilidades como las que presenta el protocolo SS7, podrían llevar al secuestro de cuentas de usuario de, entre otros programas, Telegram. También mediante la intercepción de SMS, si el propietario del móvil desde el que se están registrando para utilizar la plataforma se descuida y un tercero acceder al mensaje en el que le envían el código de validación del sistema. Lo mismo podría suceder aunque se utilizase el método de verificación mediante llamada telefónica.

El informe, además, alerta de otros peligros, como la posibilidad de que los ciberdelincuentes realicen la monitorización a distancia de usuarios, entre otros fallos de seguridad. Pero también de los peligros de la descarga de clientes no oficiales, que pueden llevar a la pérdida de datos e incluso a la inserción de malware en el terminal en el que se instala.

Foto: Eduardo Woo