Telegram, junto a WhatsApp, es una de las aplicaciones de mensajería instantánea más populares, y una de sus principales reivindicaciones suele ser cuán segura es. Los usuarios evalúan la protección que ofrece, precisamente el punto que se cuestiona en dos estudios presentados en el marco del evento de ciberseguridad RootedCON 2022 y que ofrecen opciones para incrementar la seguridad.
El fundador de la compañía especializada en criptografía y protección de datos CriptoCert, Alfonso Múñoz, y el jefe de Evaluaciones Técnicas en el departamento New Markets de Telefonica CyberTech, Pablo San Emeterio, presentaron en la RootedCON 2022, celebrado el pasado mes de marzo en Madrid, dos investigaciones que aspiran a romper los mitos de cuán segura es Telegram.
WhatsApp y también Telegram afirman que desconocen el contenido de las conversaciones de sus usuarios gracias al cifrado punto a punto. La primera lo implementó en 2016 y la segunda se creó con este cifrado.
El fundador de Signal, Moxie Marlinspike, criticó en el pasado a Telegram por, según sus palabras, guardar la información que recopila del usuario en texto plano y no usar la encriptación. La app ofrece la posibilidad de crear chats secretos, que emplea un protocolo e2ee “dudoso”.
En su ponencia durante la conferencia, Muñoz explicó además que, sin embargo, la mayor parte de la información y ficheros intercambiados en Telegram solo tiene cifrado cliente-servidor. Eso permite a la aplicación conocer la mayor parte de la información que se intercambia en ella.
Este ponente también hace alusión a los denominados chats secretos de Telegram que su servidor almacena en ficheros cifrados. Esta técnica permite también a la app conocer datos como qué personas se intercambian dichos ficheros, cuándo lo hacen, su tamaño y el nombre de estos.
Dentro de este contexto, la criptografía involucrada en las comunicaciones en tránsito no puede vulnerarse sin la colaboración de la compañía. En este caso, Muñoz destaca que gran parte de la seguridad de Telegram se basa en la confianza depositada sobre la propia plataforma.
Posibles soluciones al problema
Muñoz reconoce que no existe una solución ideal al problema de la privacidad desde el punto de vista de la ciberseguridad. Pero sí existe una plataforma que permite comparar y evaluar qué app se adapta mejor al usuario en función de sus necesidades.
Por su parte, San Emeterio presentó una medida de protección adicional consistente en incluir una capa extra de cifrado. Esta implementa el uso de técnicas de introspección y de instrumentación dinámica. Ambas permiten modificar el comportamiento de aplicaciones y sistemas operativos, en este caso de Telegram.
Para ello, se inyecta un código de instrumentación específico en el proceso de ejecución de un programa o aplicación. La herramienta actúa sin afectar los resultados de la ejecución dinámica del mismo para monitorear y analizar su proceso de ejecución dinámica.