viernes, septiembre 02, 2022

Tres mejoras de privacidad para Telegram que le vendrían muy bien.

Hace poco os contaba las "cositas" que WhtasApp aún podía mejorar, y hoy quería contaros tres detalles de privacidad que Telegram puede arreglar también. Son tres pequeñas mejoras de privacidad que mejorarían la experiencia en esta plataforma, donde ya sabéis que yo tengo un canal de distribución de artículos y contenidos al que te puedes suscribir: El lado del Mal en Telegram.

Figura 1: Tres mejoras de privacidad para Telegram que le vendrían muy bien.

Cada una de ellas tiene que ver con un detalle diferente, pero creo que merece la pena que en algún momento las corrijan. Aquí os las dejo.

1.- Localización de cuenta de Telegram por Número de Telefóno

La primera de ellas tiene que ver con la posibilidad de que te encuentren tus contactos por medio de tu número de teléfono, algo que a lo mejor no te interesa. Si revisamos las opciones vemos que no se puede quitar la opción de ser localizado por tus contactos.

Figura 2: Tus contactos siempre pueden localizarte
por número de teléfono en Telegram

Esto que parece "normal", es decir, si yo lo tengo en Mis Contactos entonces es que es mi amigo, no es siempre así, y más en las políticas de BYOD donde mezclamos vida personal y profesional en la agenda de contactos. Esto es algo que Telegram debería añadir un "Nadie". 

¿Por qué? Pues porque si tienes un contacto profesional de número de teléfono, siempre podrá encontrar tu "username" de Telegram, algo que para las técnicas OSINT puede estar muy bien, pero para la privacidad de los usuarios, y para separar vida profesional y personal, no tanto.

2.- Saber cuándo estás Online por defecto OFF
 
Esta es vieja, y ya incluyo WhatsApp lo está arreglando.  En Telegram lo han tomado más relajado, ya que incluso con la API se podía hacer una monitorización constante. Esto lo hicimos nosotros como demo tiempo atrás para demostrar la importancia de controlar este, evidente, fallo de privacidad.
Además de que se pudiera hacer con una API, tan fácilmente, no es óbice para que aún tenga dos formas de ver si un usuario está online y que se pueda WebScrappificar. El primero es el mensaje de Online, por supuesto, que sale en cada ventana de conversación con una persona.

Figura 5: Leak de "En línea"

El segundo, es el punto, como en el caso de Instagram, que marca exactamente lo mismo, que una persona está Online, incluso si el mensaje es un Chat Secreto.

Figura 6: Punto Azul en los Chats y en los Chats Secretos

Por suerte, en las opciones de privacidad de Telegram ya se puede configurar "Last Seen & Online" como forma de mejorar la privacidad. Misma característica de "engagement" que en WhatsAppp. Esta característica, por defecto, vendría muy bien que estuviera desactivada en lugar de ser al contrario, que por defecto está activada para todos los contactos.

3.- Control de la información personal en el perfil

Como en WhatsApp, los estafadores pueden utilizar la información personal para hacer ataques de ingeniería social. Una de las cosas que sucede en WhatsApp es que no hay forma de controlar el envío del "Nombre", y en todos los mensajes que envías este va. Lo mismo sucede en Telegram, así que si cualquiera que tiene tu número de teléfono te envía un mensaje y tú le contestas, va tu Info y tu descripción.

Figura 7: Biografía con sugerencia de Datos Personales
y Nombre, que se envía en cualquier mensaje

Se debería poder controlar que esa información no se envíe nada más que a gente que tengas en tus contactos. Además, en el caso de Telegram, el mensaje que el interfaz de usuario es justo para incentivar que pongas más información personal, como es "Datos como la edad, ocupación, ciudad", que precisamente es algo que yo no recomendaría hacer.
Al final son tres pequeños detalles de privacidad, pero como ya hemos visto muchas veces, los detalles marcan la diferencia en un problema de seguridad, en la protección personal, y en la información necesaria para un estafador a la hora de realizar una ciberestafa.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Publicar un comentario