Telegram tiene fama de ser una aplicación de mensajería realmente segura, y aunque nunca ha tenido una brecha o fallo realmente importante en este sentido, ya vimos hace unos días que en contra de lo que piensa la mayoría, la seguridad de los chats no es uno de sus puntos fuertes si la comparamos con otras apps como WhatsApp o Signal.
A través del portal The Hacker News hemos podido conocer a principios de esta semana que la compañía de ciberseguridad Shielder consiguió detectar el año pasado un fallo en Telegram que permitía el acceso de los atacantes a las fotos, videos y mensajes enviados desde la aplicación. Todo ello simplemente con el envío de un sticker a través de la función de chat secreto.
Este fallo habría afectado a las versiones de Android, iOS y macOS de Telegram, y se habría solucionado mediante un parche publicado entre el 30 de septiembre y el pasado 2 de octubre del 2020.
Así funcionaba la vulnerabilidad del sticker
¿Cómo consiguieron los expertos de Shielder saltarse todos los límites de seguridad de Telegram, te estarás preguntando? Para responder a esta pregunta primero debemos fijarnos en el método de encriptación que emplea Telegram para cifrar los mensajes de sus usuarios. En los chats “normales” la plataforma utiliza una encriptación Cliente-Servidor, lo que significa que los mensajes se desencriptan y se vuelven a encriptar en los servidores de Telegram antes de llegar al destinatario. Al utilizar un intermediario, este método podría suponer un mayor grado de vulnerabilidad, aunque en este caso la brecha ha sido detectada en otro sitio: en los chats secretos.
Esta modalidad de mensajes sí que utiliza un sistema de encriptación en teoría más segura, la encriptación de extremo a extremo. De esta forma los mensajes salen encriptados y solo se desencriptan cuando llegan al destinatario. El error en este caso fue detectado en la forma en que los chats secretos gestionan los stickers animados. Aprovechando este fallo los atacantes podían incluir código malicioso en el sticker para enviarlo y dejar expuestos todos los mensajes, fotos y videos de las víctimas, tanto de los chats normales como de los propios chats secretos.
Cabe aclarar eso sí que este hackeo no era superfluo ni fácil de realizar, ya que requería explotar otra vulnerabilidad adicional para esquivar las defensas de seguridad que portan los dispositivos modernos de hoy en día.
Sin embargo, resulta preocupante al mismo tiempo, ya que la encriptación de extremo a extremo es uno de los sistemas más seguros que se conocen hasta la fecha, y es el mismo que utilizan otras aplicaciones multitudinarias como Signal o la mismísima WhatsApp. Lo cual a fin de cuentan no hace sino sembrar la duda y dejar la puerta abierta para posibles futuros ataques a una mayor escala por parte de ciberdelincuentes.
