Telegram vuelve a estar en boga y no precisamente por una buena razón. Las agrupaciones terroristas y criminales están animando a sus seguidores a usar Telegram para que las conversaciones que realizan sean invisibles a los agentes de la ley, pero, según algunos expertos en seguridad, la aplicación puede no ser tan segura como los terroristas piensan.
Telegram es un servicio de mensajería instantánea segura, de código libre, con cifrado E2E y autodestrucción de mensajes utilizado por muchas más personas de las que aparece en el telediario, ya que de hecho, no solamente los criminales utilizan esta aplicación, sino que el año pasado consiguió más de 50 millones de usuarios nuevos y se enviaron a través de ella más de 1 billón de mensajes al día.
Es por ello así que el investigador de seguridad conocido como «The Grugq» ha indicado en su blog varias falencias en el respectivo software que podrían arriesgar la privacidad de la información y comunicaciones ahí transferidas.
Propenso a errores
La función de comunicación cifrada no viene preconfigurada por defecto. Es decir, si queremos tener una comunicación privada, primero debemos acceder al perfil del usuario con quien deseamos comunicarnos y seleccionar “Nuevo chat secreto” antes de comenzar y esto no cubre las conversaciones grupales. Además, no es posible cifrar una conversación existente.
Robo de contactos
Telegram requiere de un número de teléfono móvil para ingresar y carga todos los contactos guardados en la tarjeta SIM del dispositivo en sus servidores con el objetivo de sincronizarlos para ver si alguno ya tiene una cuenta y así conectarlo inmediatamente con el presente usuario, lo cual genera un registro de las comunicaciones de dicha persona sin su consentimiento ni autorización que podría identificar y rastrear a las personas con quienes habla por teléfono mediante la recopilación del mencionado registro, el cual señala los contactos enlazados a su número telefónico y que se encuentra almacenado en los servidores de la plataforma.
“Esto permite a Telegram construir un mapa de la red social y conocer la forma en que sus usuarios se conocen” – escribe the Grugq en su blog.
Fuga de metadatos
El uso de un teléfono móvil expone a una gran cantidad de metadatos. Incluso si la comunicación segura está activada, la policía puede recoger metadatos para comprometer los servidores, lo cual ayudaría a localizar a quién se refirió a quién, en qué momento, desde qué dispositivo y ubicación geográfica.
El cifrado
Muchos expertos en seguridad están preocupados por el cifrado que usa Telegram, aunque este nunca se ha vulnerado públicamente teniendo en cuenta que la propia aplicación anunció un concurso en el cual quien consiguiese romper su cifrado, conseguiría un premio de USD $300.000, pero nadie lo ha reclamado aún.
En consecuencia, podemos sugerir que se utilice Telegram desde máquinas virtuales con Tails, Whonix, Heads, Kodachi, Qubes OS o Subgraph OS montadas sobre sistemas operativos corriendo en modo portable y todo cubierto bajo VPN (es posible buscar sugerencias aquí) complementada con El Enrutador Cebolla (TOR, The Onion Router), mediante una cuenta de usuario registrada con tarjetas SIM totalmente vacías y desechables para así actualizar periódicamente el número telefónico enlazado a la cuenta y cifrar los mensajes (sobre todo aquellos más delicados o con información altamente confidencial) con criptografía asimétrica con GPG (GNU Privacy Guard).
Junto a esto también, para profundizar aún más en el tema, los detalles sobre el funcionamiento de Telegram y sus riesgos de seguridad, dejaremos un informe en PDF donde se explica específicamente la materia en disputa.