Problema de seguridad en Telegram: tus chats secretos expuestos por un Sticker
La app de mensajería tuvo una vulnerabilidad de seguridad a finales de 2020 que corrigió con varios parches.
A diferencia de WhatsApp, que aplica la seguridad del cifrado de extremo a extremo en todas sus conversaciones, en Telegram esto sólo se aplica cuando inicias un chat secreto. Según el FAQ de la app, “Los chats secretos están pensados para quienes quieren más seguridad que una persona promedio. Todos los mensajes en los chats secretos usan un cifrado end-to-end. Esto significa que sólo tú y tu receptor pueden leer esos mensajes; nadie más puede descifrarlos, incluyéndonos a nosotros en Telegram”.
Fallo de seguridad en Telegram
En marzo de 2017, investigadores de Check Point Research revelaron una nueva forma de ataque contra las versiones web de Telegram y WhatsApp, que consistía en el envío a los usuarios de archivos de imagen aparentemente inocuos que contenían un código malicioso que, al abrirse, podría haber permitido a un adversario tomar el control de las cuentas de los usuarios en cualquier navegador por completo, y acceder a las conversaciones personales y de grupo de las víctimas, fotos, vídeos y listas de contactos.
Y parece que los archivos multimedia vuelven a protagonizar un fallo de seguridad en una de las apps, ya que un grupo de expertos en ciberseguridad de la empresa italiana Shielder anunciaron ayer los detalles de un fallo, ya parcheado, en las versiones de Telegram para iOS, Android y macOS, que podría haber expuesto los mensajes, fotos y vídeos secretos de los usuarios a “actores maliciosos remotos”, hackers y cibercriminales.
Los fallos se originaron de la forma en que opera la funcionalidad del chat secreto y en el manejo de la aplicación de los stickers animados, lo que permite a los atacantes enviar stickers manipulados a usuarios desprevenidos y obtener acceso a los mensajes, fotos y vídeos que se intercambiaron con sus contactos de Telegram a través de los chats clásicos y secretos.
Ver tus chats a través de un sticker malicioso
Pero el problema no es de la semana pasada, sino que sucedió el año pasado, y fue corregido por Telegram con una serie de actualizaciones lanzadas entre el 30 de septiembre y el 3 de octubre de 2020. Shielder dijo que decidió esperar al menos 90 días antes de revelar públicamente los fallos para dar a los usuarios tiempo suficiente para actualizar sus dispositivos.
“Las revisiones periódicas de seguridad son cruciales en el desarrollo de software, especialmente con la introducción de nuevas características, como las pegatinas animadas. Los fallos de los que hemos informado podrían haber sido utilizados en un ataque para acceder a los dispositivos de opositores políticos, periodistas o disidentes".
Sea como fuere, el problema se solucionó, y aunque puede que el fallo nunca hubiese sido explotado por cibercriminales, también es posible que muchos usuarios/as de Telegram hayan visto su privacidad vulnerada sin que se hayan dado cuenta, algo que se tendría que haber comunicado en el mismo día o en los días en que se lanzaron los updates, para al menos hacérselo saber a los usuarios.