Problema de seguridad en Telegram: tus chats secretos expuestos por un Sticker

A diferencia de WhatsApp, que aplica la seguridad del cifrado de extremo a extremo en todas sus conversaciones, en Telegram esto s¨®lo se aplica cuando inicias un chat secreto. Seg¨²n el FAQ de la app, ¡°Los chats secretos est¨¢n pensados para quienes quieren m¨¢s seguridad que una persona promedio. Todos los mensajes en los chats secretos usan un cifrado end-to-end. Esto significa que s¨®lo t¨² y tu receptor pueden leer esos mensajes; nadie m¨¢s puede descifrarlos, incluy¨¦ndonos a nosotros en Telegram¡±.

Fallo de seguridad en Telegram

En marzo de 2017, investigadores de Check Point Research revelaron una nueva forma de ataque contra las versiones web de Telegram y WhatsApp, que consist¨ªa en el env¨ªo a los usuarios de archivos de imagen aparentemente inocuos que conten¨ªan un c¨®digo malicioso que, al abrirse, podr¨ªa haber permitido a un adversario tomar el control de las cuentas de los usuarios en cualquier navegador por completo, y acceder a las conversaciones personales y de grupo de las v¨ªctimas, fotos, v¨ªdeos y listas de contactos.

Y parece que los archivos multimedia vuelven a protagonizar un fallo de seguridad en una de las apps, ya que un grupo de expertos en ciberseguridad de la empresa italiana Shielder anunciaron ayer los detalles de un fallo, ya parcheado, en las versiones de Telegram para iOS, Android y macOS, que podr¨ªa haber expuesto los mensajes, fotos y v¨ªdeos secretos de los usuarios a ¡°actores maliciosos remotos¡±, hackers y cibercriminales.

Los fallos se originaron de la forma en que opera la funcionalidad del chat secreto y en el manejo de la aplicaci¨®n de los stickers animados, lo que permite a los atacantes enviar stickers manipulados a usuarios desprevenidos y obtener acceso a los mensajes, fotos y v¨ªdeos que se intercambiaron con sus contactos de Telegram a trav¨¦s de los chats cl¨¢sicos y secretos.

Ver tus chats a trav¨¦s de un sticker malicioso

Pero el problema no es de la semana pasada, sino que sucedi¨® el a?o pasado, y fue corregido por Telegram con una serie de actualizaciones lanzadas entre el 30 de septiembre y el 3 de octubre de 2020. Shielder dijo que decidi¨® esperar al menos 90 d¨ªas antes de revelar p¨²blicamente los fallos para dar a los usuarios tiempo suficiente para actualizar sus dispositivos.

¡°Las revisiones peri¨®dicas de seguridad son cruciales en el desarrollo de software, especialmente con la introducci¨®n de nuevas caracter¨ªsticas, como las pegatinas animadas. Los fallos de los que hemos informado podr¨ªan haber sido utilizados en un ataque para acceder a los dispositivos de opositores pol¨ªticos, periodistas o disidentes".

Sea como fuere, el problema se solucion¨®, y aunque puede que el fallo nunca hubiese sido explotado por cibercriminales, tambi¨¦n es posible que muchos usuarios/as de Telegram hayan visto su privacidad vulnerada sin que se hayan dado cuenta, algo que se tendr¨ªa que haber comunicado en el mismo d¨ªa o en los d¨ªas en que se lanzaron los updates, para al menos hac¨¦rselo saber a los usuarios.