Muchos activistas, investigadores, e incluso algunas personas malintencionadas ven en Telegram como una opción para establecer canales de comunicación mucho más seguros que otras opciones en el mercado de la mensajería instantánea como WhatsApp o Facebook Messenger. Acorde a especialistas en seguridad informática, incluso algunos movimientos sociales, como la lucha por la democracia en Hong Kong, han recibido un impulso particular a través de esta plataforma.
Por desgracia, no todo son buenas noticias, pues recientemente se ha descubierto una falla técnica en la plataforma que podría exponer los números telefónicos de los participantes de grupos de Telegram; en el caso de las protestas en Hong Kong, esta falla podría ser aprovechada por las autoridades chinas para anticiparse a la organización de las manifestaciones e identificar a los líderes del movimiento.
Los grupos de Telegram usados para difundir los movimientos de esta lucha social son públicos, por lo que este no es precisamente un problema de acceso indebido a un chat de Telegram, no obstante es un problema de seguridad informática serio, pues aunque esta es una plataforma de mensajería más segura que el resto, las autoridades podrían lograr comprometer la integridad de los activistas gracias a la información filtrada, vulnerando el mecanismo de cifrado de Telegram.
Chu Ka-Cheong, un experto en TI radicado en Hong Kong, reveló el incidente a través de su cuenta de Twitter: “Necesitamos algo de ayuda de Telegram. Hemos podido confirmar la presencia de una seria vulnerabilidad que filtra los números de teléfono de los participantes de algunos grupos públicos, sin importar las configuraciones de seguridad de cada usuario”, menciona el experto, quien también destaca la importancia de esta plataforma en las manifestaciones de Hong Kong.
Es importante mencionar que, acorde a algunos especialistas en seguridad informática, la vulnerabilidad es ampliamente conocida y muy fácil de explotar. “Este es un escenario de riesgo para los activistas que usan Telegram, podría comprometer algunas acciones clave”, afirma el experto.
La falla fue publicada en algunos foros de hacking populares en Hong Kong y, según se ha mencionado, explota los grupos de acceso público en los que los usuarios han decidido mantener su número de teléfono privado. Para explotarla, se pueden agregar miles de números de teléfono a un dispositivo que después deberá ser sincronizado con Telegram para buscar coincidencias entre los números almacenados y los números privados en los grupos públicos; “de hecho cualquier compañía de teléfono puede explotar esta falla”, agrega Chu Ka-Cheong.
A pesar de ser considerado más seguro que otros servicios de mensajería instantánea, Telegram sufre la misma debilidad de seguridad crítica que sus contrapartes, recurre al uso del número de teléfono como identificador de usuario, aunque los especialistas en seguridad informática afirman que esta falla en específico no había sido identificada sino hasta hace unos cuantos días. Por ahora, la única forma de protegerse de la explotación de esta falla es modificando la configuración de la cuenta de Instagram a “modo anónimo”, aunque esto complica el uso de la plataforma como medio de difusión masivo.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS) este error no puede ser considerado un backdoor, pues su presencia es completamente accidental. Por otra parte, esta falla ha generado nuevas opiniones y debates sobre la seguridad de los servicios de mensajería instantánea y la capacidad de las autoridades para intervenir en estas plataformas, ya sea de modo puramente incidental, explotando vulnerabilidades conocidas o, en el peor de los casos, obligando a los desarrolladores de estas plataformas a instalar backdoors para poder acceder a información confidencial.
ACTUALIZACIÓN: El equipo de Telegram ha contactado a este medio para señalar que la falla explotada es en realidad una característica propia de Telegram y otros servicios de mensajería que usan el número telefónico de los usuarios como identificador.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad