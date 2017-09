Etiquetas

El uso de Telegram no es seguro. Lo dice el Centro Criptológico Nacional (CCN-CERT), el organismo adscrito al Centro Nacional de Inteligencia (CNI) encargado de las amenazas cibernéticas. En su último "Informe de amenazas CCN-CERT IA-23/17 Riesgos del uso de Telegram", los servicios de Inteligencia realizan un riguroso análisis sobre los peligros que entraña utilizar esta conocida aplicación para móvil y ordenador dedicada al envío y recepción de comunicaciones (que es la que utilizan, por ejemplo, los líderes de Podemos) sin las debidas precauciones. La advertencia llega en plena oleada de ciberataques y con España en el punto de mira de los delincuentes que operan en Internet, tal y como quedó demostrado con el ataque Wannacry del pasado mes de mayo que afectó a varias multinacionales.

En primer lugar, el CCN advierte que Telegram viene configurado por defecto con el sistema de cifrado Cloud Chat, que obliga al usuario a confiar en los mecanismos de almacenamiento, medidas de seguridad y política de privacidad de Telegram. El problema de este sistema es que, a pesar de que los servicios de mensajería son cifrados, realiza una copia de seguridad en los servidores de Telegram, de tal forma que si el usuario realiza un acceso a su cuenta desde otro dispositivo pueda acceder a su historial de forma sencilla.

El CCN especifica que esta opción es "muy desaconsejable desde el punto de vista de la seguridad, ya que expone datos de forma histórica frente a un compromiso y no solo durante lo que dure éste". Y añade: "Un atacante podría engañar a un usuario con técnicas de ingeniería social o tener acceso al teléfono de la víctima durante un breve espacio de tiempo para obtener las conversaciones y ficheros compartidos". Así, "utilizando herramientas como el interfaz Web de Telegram o, por ejemplo, descargando cualquier herramienta de backup de conversaciones, se puede obtener una copia de todo lo almacenado en los servidores", aseguran los expertos de Inteligencia.

Un cifrado que ya se ha roto de manera parcial

Una de las fortalezas de Telegram es que se trata de un servicio de mensajería cifrado que aún no se ha roto públicamente, "por el momento", especifica el CCN. Añade que "la primera y más sencilla motivación para esta falta de confianza es la primera regla de la criptografía: Don’t Roll Your Own Crypto (no inventes tu propia criptografía)". Así, advierten que "cuando se utilizan implementaciones personalizadas de cifrado, lo más probable es que se estén cometiendo errores que afectan al nivel de seguridad de la aplicación".

Telegram ha anunciado diversos concursos para romper el cifrado de la aplicación, el último con un premio de 300.000 dólares. Aún nadie lo ha conseguido de manera completa, aunque sí de forma parcial. Tiempo al tiempo.

El peligro de la sincronización de contactos

Para poder utilizar Telegram es necesario introducir el número de teléfono del usuario, que queda registrado como identificador único y primario de la cuenta. El problema que surge es que al utilizar teléfonos particulares se ofrece a Telegram "gran cantidad de información asociada que no podrán controlar con quién se comparte ni el posible uso para rastrearlos". Además, "al registrar una nueva cuenta, la aplicación carga la base de datos completa de usuarios en los servidores de Telegram. Esto permite a Telegram disponer de una gran base de datos con la información de todos los usuarios y de cómo se conocen o relacionan entre sí, complicando la tarea de permanecer anónimo en su sistema", advierte el CCN.

A esta situación hay que sumar los "metadatos que los servidores de Telegram serán capaces de recopilar sobre cada usuario, pudiendo estar comprometidos por un tercero y descargados regularmente, tal y como se ha demostrado con otras aplicaciones y su relación con agencias de Inteligencia, o permitiendo identificar inequívocamente a cualquier usuario". "Estos metadatos podrían revelar con quién habló el usuario en cuestión, en qué momento, dónde estaba ubicado, la dirección IP utilizada, etc.", aseguran desde el CNI. Añaden que "hay gran cantidad de información en esos flujos de datos que compensarían la falta de acceso a la información compartida, incluso si el esquema de cifrado fuera completamente robusto".

Secuestro y robo de cuentas

Existen tres formas de secuestrar cuentas de Telegram (y de WhatsApp). La primera pasa por aprovechar fallos en el protocolo de telecomunicaciones SS7 (Signalling System 7), lo que permitiría tener acceso a las llamadas, leer SMS o detectar la localización del dispositivo. El método utilizado es sencillo, aseguran desde el CCN, "haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima. De esta forma, se consigue recibir un código de verificación de Telegram válido, teniendo acceso completo a la cuenta de la víctima, independientemente del cifrado incluido en las comunicaciones". "Al tratarse de un fallo de la red, no dependiente de la aplicación en sí misma, no existe una forma directa de resolver estos fallos de seguridad", añaden.

La segunda fórmula pasaría por "utilizar un teléfono propio o un emulador y comenzar el proceso de registro con el número de la víctima, como si se cambiara de un cambio de terminal". "Si el atacante consigue acceso físico al teléfono y la previsualización de SMS se encuentra activada, podrá observar el código de seguridad que el teléfono reciba, registrando satisfactoriamente su terminal y obteniendo acceso a la sesión de la víctima", explican los expertos en Inteligencia.

Un tercer sistema sería utilizar el proceso verificación por SMS de Telegram por llamada telefónica. "Si el método para ocultar las notificaciones de SMS se encontrara activo el atacante sólo deberá mantener acceso físico durante la cuenta atrás para que la aplicación considere el envío de SMS como fallido y así obtener acceso automático a la verificación por llamada, descolgando y accediendo al código de forma sencilla", asegura el CCN.

La única contramedida, según el CNI, para evitar estos posibles ataques "sería recopilar los diferentes números de teléfono utilizados por la aplicación para realizar estas llamadas de verificación y bloquearlos desde el terminal para no poder realizar la activación utilizando este mecanismo".

Los metadatos y las descargas

Telegram también permite monitorizar la actividad de un usuario. Así, "mientras un posible atacante conozca el número de teléfono de la víctima y lo añada a la agenda de contactos, éste se suscribirá automáticamente a la recepción de estos metadatos o notificaciones acerca de la víctima". Podrá saber a qué hora se conecta a la aplicación y se desconecta (para evitar estar localizados habría que ir a Ajustes, Privacidad y seguridad, Última conexión).

Existes, asimismo, innumerables estafas para Telegram que prometen funciones o características personalizadas, multitud de fondos y paletas de colores diferentes para las conversaciones, o incluso poder acceder a conversaciones de terceros. Por ejemplo, existe una variante de cliente denominado The Black Telegram (BlackGram), que supuestamente permite al usuario utilizar y personalizar con un tema oscuro el interfaz de la aplicación y que, tras acceder al servicio de Telegram, nos introduce en una serie de canales propios de los creadores y además nos muestra una ventana para la activación de la aplicación, en la que se solicita el pago de 3 dólares.

De la misma manera, también sería posible crear una aplicación dañina que robara las credenciales de acceso de los usuarios, que interceptara las claves criptográficas cliente/servidor, que permitiera acceder en remoto a conversaciones, etc. "Para evitar caer en este tipo de estafas sólo se deberán instalar las aplicaciones que se encuentren en las tiendas oficiales: Google Play, en caso de contar con un dispositivo con sistema operativo Android; App Store, si el terminal es un iPhone; o Windows Phone Store si es un teléfono con la plataforma de Microsoft", recomienda el CNN.

[Informe del CCN sobre la seguridad de Telegram en PDF]

Otro fallo en Telegram fue descubierto en marzo de este año por la compañía Checkpoint: "Simplemente enviando una fotografía aparentemente inofensiva, un ciberdelincuente podía hacerse con el control de sus cuentas, acceder al historial de mensajes, ver y descargar todas las fotografías compartidas y enviar mensajes en nombre de la víctima". Esta imagen permitía el acceso completo a los datos almacenados permitiendo, además, el envío del archivo dañino posteriormente a todos sus contactos, lo que potencialmente permitía un ataque a gran escala.

Recomendaciones de seguridad del CNI

El Centro Criptológico Nacional ofrece una serie de recomendaciones que ayudarán a los particulares a proteger sus teléfonos móviles. Por ejemplo, apuntan que debe mantenerse el teléfono bloqueado y eliminar las previsualizaciones de los mensajes en la pantalla. Asimismo, "hay que tener extremado cuidado con el acceso y las solicitudes de permisos de las aplicaciones que se ejecuten en nuestro teléfono, especialmente cuando se trata de terminales Android". Señala también "desactivar la conectividad adicional del teléfono cuando no se vaya a utilizar, como podría ser la conexión Wi-Fi o Bluetooth, ya que además de reducir el consumo de batería, reduce la posible superficie de ataque sobre el terminal".