viernes, diciembre 26, 2014

Cómo te pueden espiar por Telegram

Desde la irrupción de Telegram en el mundo de las apps de mensajería, muchos son los que han abrazado este sistema como forma de comunicación por defecto. Las críticas a los múltiples fallos de seguridad del rey en este mundo, que ha llevado a la aparición de técnicas, estafas, herramientas y sistemas para espiar WhatsApp, hizo que la llegada de Telegram con sus mensajes cifrados end-to-end y la posibilidad de usar comunicaciones que se autodestruyen, pareciera un sistema súper seguro de comunicación. Pero no es tan así, y hay formas y maneras para que afecte de forma drástica a la privacidad de tu vida personal.

Figura 1: Cómo te pueden espiar por Telegram

Estas son algunas cosas que debes conocer antes de que consideres a esta aplicación como la panacea de la seguridad y la privacidad de tus comunicaciones móviles.

1.- Los mensajes que se autodestruyen no tienen porque autodestruirse

Cuando se envía un mensaje cifrado a un destinatario de Telegram, por mucho que hayas puesto un temporizador en los mensajes, estos no tienen porque eliminarse. Si el usuario al que le envías el mensaje utiliza una aplicación de consola es bastante sencillo para él tener una aplicación que capture los mensajes.

Figura 2: Con Telegram Anti-Delete Protection Tool los mensajes que se borran o autodestruyen se guardan

Si el destinatario tiene una aplicación en un dispositivo móvil, como por ejemplo iPhone, podría utilizar una app como Telegram Anti-Delete Protection Tool que modifica la app para que si se borra algún mensaje quede guardado y se pueda recuperar desde un equipo con Windows. Este tipo de herramientas son similares para otras apps de mensajería como Twitter, Skype o WhatsApp.

2.- ¿A qué horas usas Telegram?

El famoso "estar en línea" que tienen las aplicaciones de mensajería como WhatsApp o Telegram permite a cualquiera automatizar un control constante de los horarios de uso de la aplicación. En el caso de WhatsApp, si intentas hacer uso de esta característica de forma automatizada, hemos visto que la plataforma de mensajería anula la cuenta, con lo que no se puede hacer fácilmente.

Figura 3: Telegram, como WhatsApp, informa si alguien está conectado

Con Telegram, abusando de la app oficial de consola mediante una automatización hecha con Python, hemos creado una Prueba de Concepto que muestra, en todo momento, a qué horas está en línea o no un usuario de Telegram.

Figura 4: Seguimiento de actividad de una persona por medio de Telegram

Conocer esta información puede servir a alguien - un mal jefe, un acosador@ o simplemente un stalker - saber a qué hora te levantas, a qué hora te acuestas y, por supuesto, si usas o no Telegram. Esta información puede ayudar a saber incluso en qué franja horaria se encuentra un determinado directivo o persona.

3.- Espionaje de mensajes por personas cercanas

Al igual que en el primer ejemplo, alguien de tu entorno podría utilizar Telegram Anti-Delete Protection Tool para espiar tus mensajes. Si esa persona tiene acceso a un ordenador al que conectas tu iPhone, con esa herramienta - sin conocer el passcode ni tener jailbreak - podría sacar todos los mensajes que están en la base de datos almacenados, e incluso ver los que se han borrado.

Figura 4: Con Telegram Anti-Delete Protection Tool se ven los mensajes
en base de datos de Telegram y borrados extraídos directamente desde el iPhone

Debes tener mucho cuidado con qué equipos pareas con tu terminal iPhone, pues como se explica en el libro de hacking iOS: iPhone & iPad, desde él se pueden hacer muchas cosas malas - incluso con tu Telegram. Ten mucho cuidado.

¿WhatsApp o Telegram?

Hoy en día, con los esfuerzos de WhatsApp en temas de seguridad, y con la llegada de la tecnología de TextSecure del hacker Moxie Marlinspike, y con las protecciones contra los abusos masivos en ataques, parece que va a mejorar mucho su seguridad.

Figura 5: Comparativa de EFF sobre apps de mensajería

En la EFF hay un ranking de seguridad de aplicaciones de mensajería en las que algunas como iMessage o TextSecure o Wickr salen bastante bien parados. No obstante, pensar que una u otra van a ser seguras y tú no vas a tener que preocuparte de su seguridad es un error. La mayoría de los casos, el principal problema es dónde y cómo se usan esas tecnologías.

Saludos Malignos!

8 comentarios:

  1. Felices Fiestas Chema

    http://www.redeszone.net/2014/02/05/telegram-no-es-tan-seguro-como-aparenta-ser/

    ResponderEliminar
  2. El fork gallego de Telegram, Galegram, corrige algunos fallos del código original.
    Entre ellos siempre incluyó una forma de ocultar tu estado en línea.

    ResponderEliminar
  3. Ocultar el estado (en línea) ya es posible desde hace un par de actualizaciones. Utilizar la herramienta que propones serviría lo mismo?

    ResponderEliminar
  4. Yo aquí veo bastante bilis sobre Telegram.

    ResponderEliminar
  5. Bueno, también quería aclarar que TODOS los clientes de mensajería tienen el mismo fallo.
    Da igual cómo se cifre la conversación o el tiempo de autodestrucción. Las capturas de pantalla son infalibles e inevitables.

    ResponderEliminar
  6. ayer compre un folio en blanco.

    ResponderEliminar
  7. Hola Chema, Text Secure también tiene sus problemas, hay que testear si los arreglaron. Saludos amigo!

    http://www.redeszone.net/2014/11/04/un-fallo-de-seguridad-en-textsecure-pone-en-duda-su-privacidad/

    ResponderEliminar
  8. Alguna forma de estar siempre en línea?

    ResponderEliminar