4 ago 2014

Telegram, ¿sí o no?

Nació en agosto del año pasado pero sigue siendo la app del momento para teléfonos inteligentes. 35 millones de personas han usado Telegram el último mes, según sus creadores, y subiendo. Algunos lo prueban y, aburridos por no encontrar allí a sus grupos de amigos, vuelven a WhatsApp. Otros los combinan: WhatsApp para las tonterías y Telegram para las comunicaciones seguras. Hacktivistas, periodistas y en general quienes buscan mayor privacidad en la mensajería instantánea fijan sus ojos en Telegram, pero su origen ruso y la posible injerencia de aquel gobierno hacen que los más paranoicos no lo tengan del todo claro.
Contra viento y marea, Telegram no para de crecer desde que nació, hace un año, llegando a picos exagerados como los 5 millones de descargas en un sólo día, cuando Facebook anunció que había comprado WhatsApp, o cada vez que WhatsApp está fuera de combate durante horas. Pero, a pesar del interés popular, Telegram tiene el “handicap” del que ha llegado segundo, cuando WhatsApp había copado ya el mercado y la gente había creado allí sus grupos de afinidad. Como en otras ocasiones de la historia tecnológica, el cambio da pereza.


En cuanto a su funcionamiento, Telegram es básicamente igual que WhatsApp: fácil e intuitivo, después de instalarlo en el teléfono él mismo detecta cuáles de nuestros contactos usan Telegram y los pone en la lista de contactos. Añade además otras funcionalidades de las que adolece WhatsApp: es gratuito, los grupos puede ser de hasta 200 personas, los mensajes se pueden borrar, un sonido avisa cuando el destinatario ha leído el mensaje y, al usar un sistema de “nube”, los mensajes pueden recuperarse desde dispositivos distintos al teléfono, como puede ser un ordenador.
Pero lo que roba el corazón de los hackers es la apuesta de Telegram por el código abierto -o casi, lo va abriendo poco a poco- que permite analizarlo y descubrir si el programa tiene espías, puertas traseras y otros agujeros. Además, cualquiera que sepa lo que hace puede montar su propio servidor Telegram, de forma que sus comunicaciones pasen por él y no por servidores desconocidos. Por otra parte, Telegram apuesta por el cifrado de las comunicaciones en la opción de “chat seguro”, donde las conversaciones viajan protegidas mediante criptografía.
Este es el punto fuerte que esgrime Telegram para distinguirse de WhatsApp: la privacidad que da a sus usuarias y usuarios. Se ha demostrado en multitud de ocasiones que las conversaciones de WhatsApp pueden cazarse al vuelo, nada de lo que allí se diga es confidencial. Así que en los “chats seguros” de Telegram las conversaciones se cifran y no pasan por los servidores de Telegram, dificultando su interceptación. Además, para demostrar lo seguros que están de su seguridad -valga la redundancia-, han retado a quien rompa su cifrado con un premio de 200.000 bitcoins. Meses después, el reto se ha cerrado sin que nadie lo haya conseguido superar.
El cordobés Miguel Ángel Arroyo, de SVT Cloud Services, ha sido uno de los que lo ha puesto a prueba: “Después de 2 horas capturando mi propio tráfico con el que intercambiaba con un amigo mensajes e imágenes me sorprendió gratamente que todas las comunicaciones iban correctamente cifradas”, explica el investigador, quien amplió su investigación a los servidores de Telegram, por donde pasan todos los mensajes de las conversaciones, menos los “chats secretos”. Aquí la cosa no fue tan bien: “La versión usada en alguno de sus servicios web estaba muy desactualizada y con importantes vulnerabilidades”, afirma Arroyo. Esto podría permitir que un atacante asaltase estos servidores para leer las conversaciones.
Otro español, Abel Gómez, de la empresa de informática forense y seguridad INCIDE, ha investigado Telegram desde otro punto de vista: ¿Podría alguien leer los mensajes cifrados sin necesidad de romper el protocolo criptográfico? Y ha descubierto que sí: “El usuario activa el cifrado para que el envío del mensaje sea seguro, pero cuando este llega al teléfono del receptor el mensaje se guarda sin cifrar, en texto plano”. Así es posible reproducir la conversación, por muy cifrada que haya viajado, si alguien accede al teléfono bien robándolo, hackeándolo, usando un código malicioso o haciéndose con una copia de seguridad de la conversación que pueda andar en alguna nube.
Gómez aclara que el fallo de almacenar los mensajes sin cifrar no es exclusivo de Telegram: “La mayoría de aplicaciones pecan de estos mismos errores, en parte porque piensan que para que un tercero pueda tener acceso a esta información es necesario acceso físico al terminal, por ejemplo robándolo”. En realidad, cada vez hay más programas maliciosos, que podemos descargar creyendo que son otra cosa, o infectarnos cuando visitamos un sitio web, que dan a los atacantes acceso remoto al teléfono. Ataques que, según el investigador, son cada vez más comunes y fáciles.
Por otra parte, Abel Gómez ha investigado también si, realmente, los mensajes de Telegram se pueden borrar. Y no está nada claro: “Los mensajes marcados para autodestruirse se eliminan de la base de datos, pero no se eliminan del archivo que los contiene”, asegura. Alguien con las herramientas adecuadas y control sobre el teléfono podría recuperarlos. Gómez concluye: “Existe un fallo de concepto en Telegram, en el modo de “destruir” los datos, hay un margen temporal durante el cual quedan alojados en el dispositivo, tan sólo se elimina “la ruta” para localizarlos, y quedan a la espera de que una sobrescritura de datos los destruya o machaque definitivamente”.
Pero, aunque no ofrezca una seguridad absoluta, hackers, hacktivistas, políticos y otros colectivos necesitados de privacidad miran a Telegram con buenos ojos. Sólo queda un escollo que no permite que se apueste por él definitivamente: la posible injerencia del gobierno ruso. Sus creadores, los hermanos Nikolai y Pavel Durov, fundaron Vkontakte.ru, llamado “el Facebook ruso”, en 2006, hoy con casi 300 millones de usuarios de Rusia y países cercanos. El pasado mes de abril, Pavel Durov explicaba que había vendido sus acciones después de haber estado “bajo una gran presión” por parte del servicio secreto ruso, interesado en los datos personales de los seguidores de un grupo de la red social, dedicado a la situación en Ucrania. Durov aseguraba que VK está hoy tomada por el presidente ruso, Vladimir Putin.
En el sitio web de Telegram insisten en que su cuartel general está en Berlín y el producto “no tiene ninguna conexión legal o física con Rusia”. Pero Miguel Ángel Arroyo, quien ha estado investigando la red de Telegram, asegura que “algunos servidores usados por Telegram en sus comunicaciones también son usados por Vkontakte.ru. ¿Intercambio de información Vkontakte – Telegram?”. Ciertamente, lo mismo podría decirse de WhatsApp y su comprador, Facebook, entre cuyos socios fundadores está la agencia de inteligencia norteamericana CIA.
Desde la empresa INCIDE coinciden con otros expertos en no querer mojarse a la hora de recomendar Telegram -ni por supuesto WhatsApp- para personas que necesiten una alta privacidad: “Carecemos de la información necesaria para poder evaluar su confiabilidad, a nivel de “quién está detrás“, más allá de lo que es vox populi: el enorme intervencionismo existente por parte del gobierno ruso en este tipo de aplicaciones, al igual que en las redes sociales más populares del país. Invitamos a los usuarios a que sean suspicaces”.

No hay comentarios: