Razones por las que ni WhatsApp ni Telegram son aplicaciones seguras

Tanto WhatsApp como Telegram, quizá las dos aplicaciones de mensajería instantánea más famosas del mundo, tienen vulneraciones de seguridad. Cualquier experto en ciberseguridad diría que nada que se encuentre en la red es 100 por ciento seguro y estas dos redes sociales no son la excepción.

Por ejemplo, en el caso de WhatsApp, el sistema de encriptación de extremo a extremo que protege los datos de los usuarios, que en teoría evita acceder a la información a nadie que no sea el emisor o el receptor, tiene una puerta trasera que permite acceder a las copias de seguridad almacenadas en los servidores de Google Drive.

Así lo aseguró recientemente el usuario de Reddit crawl_dht, que explicó la forma en que funciona el protocolo de encriptación AES-GCM-256, que emplea WhatsApp desde hace años y también otras plataformas como la de videollamadas Zoom.

AES-GCM-256 es una modalidad de encriptación de extremo a extremo en la que los datos se encuentran cifrados por claves de 256 bits que solo tienen el emisor y el receptor. Sin ellas no es posible conocer el contenido de la información intercambiada, aunque esta pase por los servidores y la nube, ni siquiera por parte de su propio desarrollador.

No obstante, según el usuario de Reddit, en el caso de WhatsApp estas claves no se crean en el propio dispositivo –como sucede en la app Signal–, sino que se generan en los servidores de la aplicación, desde donde se envían al usuario.

Cada vez que el usuario accede a WhatsApp desde un nuevo dispositivo, la aplicación recibe la clave para acceder a las copias de seguridad de los chats almacenadas en Drive. Estas claves siguen usándose posteriormente para cifrar los chats, hasta que periódicamente ese restauran por otras, aunque generadas nuevamente en los servidores de la compañía, propiedad de Facebook.

De esta manera, se abre una ‘puerta trasera’ a la encriptación de extremo a extremo que promete WhatsApp, debido a que las claves de encriptación anteriores se almacenan en los servidores para los usuarios que quieran acceder a sus copias de seguridad antiguas.

En cualquier caso, esta puerta trasera hace necesario tener acceso a la cuenta de Google vinculada con el perfil de WhatsApp del propietario.

En ocasiones anteriores, WhatsApp ya ha recordado a sus usuarios que nadie, ni siquiera la compañía, tiene acceso a los chats ni a otros datos como a las llamadas de los usuarios gracias al cifrado de extremo a extremo, presente tanto en su aplicación habitual como en WhatsApp Business.

¿Y Telegram?

Suceden cosas similares con la competencia de WhatsApp, Telegram, pues ya se conocen varios hackeos para extraer los mensajes enviados mediante esta aplicación, entre otras.

Hace algunas semanas, un grupo de hackers desarrolló una puerta trasera para Android con la que pueden extraer los códigos enviados mediante SMS en un sistema de verificación en dos pasos, así como espiar las conversaciones registradas con el micrófono o acceder a la lista de contactos.

La campaña de espionaje dirige el malware a equipos Windows, con el fin de tomar el control de la cuenta de Telegram de los usuarios en el cliente de escritorio y de obtener información del gestor de contraseñas KeePass.

Una investigación realizada por la compañía de ciberseguridad Check Point ha identificado un grupo de ciberdelincuentes de origen iraní detrás de una campaña de espionaje dirigida a dispositivos Android y Windows.

A través de una aplicación para Android maliciosa, los ciberdelincuentes crean una puerta trasera en los dispositivos móviles que les permite acceder a los SMS del usuario e interceptar el código enviado a través de SMS en un sistema de verificación de doble factor.

Además, el control que obtienen sobre el dispositivo Android les permite recoger información de cuentas personales, listas de contactos y aplicaciones instaladas, así como activar el micrófono para grabar a la víctima y mostrar falsificaciones de la cuenta de Google.

Además de estos dos frentes de ataque, los ciberdelincuentes simularon la web y la cuenta oficial de Telegram para distribuir malware.

Actualizaciones de seguridad y usabilidad

Sin embargo, la aplicación de mensajería instantánea Telegram introdujo desde el 1.° de octubre una serie de funciones nuevas en su última actualización, entre ellas filtros de búsqueda, administradores anónimos y comentarios en canales.

La nueva función de filtros de búsqueda permite que los usuarios busquen aquello que desean según el tipo, ya sea media, enlaces, archivos, música, notas de voz o chats.

Los usuarios también podrán buscar en un periodo de tiempo específico, pues solo tendrán que escribir la fecha que desean, como “14 de agosto” o “Ayer”, en el buscador, así como buscar según la fuente, escribiendo el nombre de cualquier persona, grupo, canal o bot.

Todos estos filtros de búsqueda también podrán combinarse, permitiendo buscar cosas más específicas, según explica Telegram en su página web.

Otra de las funciones que ha añadido Telegram es la de los administradores anónimos en grupos. Para ello, los usuarios tendrán que seleccionar ‘Ser anónimo’ en los permisos de administrador para activar el modo ‘Batman’ y estar ocultos en la lista de miembros del chat.

Esta novedad está enfocada a proteger a las personas en las protestas, ya que, además de ocultar su identidad, los mensajes que publiquen aparecerán con la firma del grupo.

Telegram también ha añadido un botón para comentar en las publicaciones de canales. Estos comentarios aparecerán en un hilo propio que llegará a la conversación del grupo para mantener a todos al corriente.

Los usuarios podrán probar la función de comentarios de canales de manera limitada seleccionando ‘Ajustes del Canal’ y después ‘Conversaciones’. Además, la aplicación ha introducido más emojis animados.

Para los usuarios de Telegram con sistema operativo Android, la aplicación cuenta con nuevas animaciones, así como la función de desplegar u ocultar el teclado, cambiar los temas de día y noche y ver ventanas emergentes animadas cuando eliminen mensajes o cambien notificaciones, entre otras cosas.

Con información de Europa Press.