La realidad de la seguridad de Telegram
Alfonso Muñoz y Pablo San Emeterio han presentado en RootedCON 2022, el mayor evento de ciberseguridad de España que se celebró el pasado fin de semana en Madrid, dos investigaciones complementarías que rompen los mitos de la seguridad de Telegram y ofrecen soluciones para implementarla.
Por un lado, las investigaciones expuestas analizaban la privacidad y criptografía utilizada por esta aplicación de mensajería, una de las más utilizadas mundialmente y que en estos días está jugando un importante papel en el conflicto bélico en Ucrania. Por otro, se propusieron buenas recomendaciones de diseño de soluciones criptográficas que, por desgracia, aun no están implementadas. Además, se compararon ventajas e inconvenientes de su uso y se examinaron los ataques que la aplicación está experimentando en los últimos días.
La seguridad de millones de datos
Las aplicaciones de mensajería instantánea (IM) se han convertido en un pilar fundamental en las comunicaciones del día a día, personales, corporativas e, incluso, confidenciales. Tanto es así que son las más instaladas y las utiliza casi uno de cada cuatro ciudadanos del mundo. Solo Telegram tiene más de 500 millones de usuarios activos al mes.
En este sentido, ha sido el propio auge de la privacidad el que ha hecho que muchas de estas tecnologías hayan tenido que ser revisadas y actualizadas con protocolos y tecnologías de cifrado. Según Whatsapp y Telegram, ellos no conocen el contenido de las conversaciones de los usuarios por el cifrado punto a punto. En el caso de Telegram, la aplicación ya nació con cierto cifrado. En el de Whatsapp, sin embargo, se implementó en torno a 2016, por lo históricamente se ha considerado mucho menos segura.
A pesar de la privacidad en los datos y en los mensajes concretos, tal y como puntualizó Alfonso Muñoz, “estas aplicaciones saben más de nosotros por ejemplo por con quién hablamos y a la hora que lo hacemos, que por lo que hablamos”. Durante su ponencia, se analizaron los enormes problemas asociados con el conocimiento de metadatos de los usuarios por parte de Telegram.
Entre algunos de los parámetros conocidos se encuentran, por ejemplo, cuándo y con quién se comunica una persona, incluso en chats secretos, la agenda completa de contactos, la dirección IP, los dispositivos desde donde se conecta el usuario o la versión del sistema operativo que utiliza, entre otros. Cuestiones que, además de arrojar gran cantidad de información sobre los usuarios, permitirían, por ejemplo, trazar posibles planes de ataque.
¿Hasta que punto es seguro Telegram?
Telegram no deja de ser una herramienta tremendamente invasiva desde el punto de vista de la privacidad, especialmente por la enorme cantidad de metadatos que conoce de los interlocutores. Además, tal y como explicó Alfonso Muñoz en su charla en RootedCON, la mayor parte de la información y ficheros intercambiados solo tiene cifrado cliente-servidor. Con ello, Telegram conoce en claro la mayor parte de la información intercambiada.
Respecto a los chats secretos, el buque insignia de Telegram, el servidor almacena los ficheros cifrados. Algo que, aunque puede parecer positivo, permite igualmente a Telegram conocer muchos datos, como qué personas se intercambian ficheros, cuándo lo hacen, el tamaño que tienen y el nombre de estos, cuestiones que suponen un riesgo adicional en cuanto a privacidad por la información que aportan.
En este contexto, hasta lo conocido y analizado, la criptografía involucrada en las comunicaciones en tránsito no puede ser vulnerada sin la colaboración de la compañía. A diferencia de lo que dicta los protocolos o sistemas avanzados de ciberseguridad, toda la seguridad depende por tanto de la bondad o no del "operador", Telegram en este caso, que tiene sus servidores repartidos por diferentes lugares del mundo. Por ello, realmente, gran parte de su seguridad se basa en la confianza depositada sobre la propia plataforma, que no puede ser en gran parte auditada al ser cerrada.
Durante su ponencia, Alfonso Muñoz destacó la historia de Telegram, así como algunas de las malas decisiones de la plataforma en materia de ciberseguridad, como el uso y configuración de ciertos algoritmos criptográficos. Además, también analizó los múltiples ejemplos que la apartan de una supuesta relación con el gobierno ruso como herramienta de espionaje masivo e, incluso, la acercan a EE. UU, aunque esta cuestión sigue siendo un tema abierto. Tanto que, existen fuentes que declaran que el FSB (Servicio Federal de Seguridad) ruso solicitó las claves privadas de la app, con lo que podrían tener acceso a las conversaciones.
¿Cómo podríamos proteger nuestros datos?
Por desgracia, no existe una solución ideal al problema de la privacidad desde el punto de vista de ciberseguridad. Entre las posibles alternativas, no exentas de problemáticas, se encuentran, en este orden, las aplicaciones de mensajería Session, Threema, Signal o Wire.
En cualquier caso, en función del país y de las necesidades de protección pueden ser más o menos adecuadas. En su ponencia, Muñoz propuso incluso una plataforma para realizar comparaciones y evaluar qué app se adapta mejor en función de necesidades y situaciones geopolíticas concretas.
Por su parte, Pablo San Emeterio, presentó en su charla en RootedCON una nueva serie de medidas de protección que se pueden añadir dentro de las aplicaciones de IM para impedir que personas ajenas puedan husmear en las conversaciones que tenemos. Concretamente, se trata de incluir una capa extra de cifrado gracias al uso de técnicas de introspección y de instrumentación dinámica. Estas técnicas permiten modificar el comportamiento de aplicaciones y sistemas operativos, en este caso de la aplicación Telegram. San Emeterio, además, mostró de forma práctica cómo se añade esta capa extra de seguridad y su utilidad.
Pablo San Emeterio
Alfonso Muñoz
