Miedo, incertidumbre y duda. Eso es lo que una vez más ha querido generar Pavel Durov, creador y CEO de Telegram, tras los problemas de seguridad de su máximo rival, WhatsApp, del que dijo que "nunca será seguro".
Tiene bemoles la cosa, dirían muchos (y me incluyo), porque cualquier experto en ciberseguridad os dirá que ningún producto o servicio es 100% seguro. Y por supuesto, nunca lo será. WhatsApp no se libra de esos problemas, y aunque el cifrado de las conversaciones fue una medida importante para proteger nuestra privacidad, la seguridad del sistema no es perfecta. Como la de Telegram o cualquier otra alternativa, ojo.
El último gran problema de seguridad de WhatsApp se descubrió el pasado 14 de mayo. La vulnerabilidad permitía instalar spyware sin dejar rastro con tan solo aprovecharse de una llamada VoIP realizada a través del servicio.
Como explicábamos entonces, el software espía que se instalaba habría sido desarrollado por el grupo israelí NSO Group, muy conocido en este ámbito y que aprovechó una vulnerabilidad desconocida de las llamadas de WhatsApp. Ni siquiera había qu econtestar a esas llamadas, y los registros de dichas llamadas podían ser eliminados para que el usuario nunca se diese cuenta del problema y de que estaba siendo vigilado.
Muchas eran las versiones de WhatsApp afectadas por el problema, que ha sido ya parcheada. Para no estar expuesto a esta vulnerabilidad es necesario actualizar a la última versión disponible de la aplicación, algo que una vez más demuestra lo importante que es mantener las aplicaciones y servicios que usamos en todos nuestros dispositivos a la última.
La potencial crítica que se le puede (y debe) hacer a WhatsApp por este descuido es distinta a la que se ha hecho en el pasado a Facebook a a la propia WhatsApp por su gestión de la privacidad, y es importante tener claro que ambas cosas son distintas.
De hecho hace tres años que WhatsApp implementó por fin el esperado cifrado extremo a extremo que protegía nuestras comunicaciones de posibles espías que quisieran interceptarlas, una característica que otros sistemas y plataformas ya habían integrado.
Telegram lo implementaba pero solo en los chats secretos: los chats normales seguían estando cifrados, pero no de extremo a extremo. Las diferencias entre los sistemas son más importantes si nos fijamos en el protocolo de cifrado: WhatsApp aprovechó el célebre y reputado protocolo de Signal, mientras que Telegram desarrolló el suyo propio, MTProto.
La rivalidad entre WhatsApp y Telegram ha sido siempre muy fuerte, y ya hablábamos de las diferencias entre una y otra aplicación para tratar de aclarar qué ofrece cada una.
En esencia el usuario final va a contar con una poderosa solución de comunicación tanto persona a persona como entre grupos, y aunque hay algunas características diferenciales en una y otra (en Telegram por ejemplo los chats efímeros, en WhatsApp llama la atención el requisito de depender de un número de teléfono), sus funciones y orientación son básicamente las mismas.
En materia de privacidad y seguridad ciertamente hay opciones de Telegram realmente llamativas, como proteger los chats con contraseña y PIN (compatible con huellas). Nuestros compañeros de Xataka Android ya realizaron un exhaustivo análisis de esas opciones recientemente con esta tabla:
| Telegram | |
---|---|---|
Cifrado de extremo a extremo | Sí | Sí, solo en chats secretos |
Protección de chats | Aún no | Sí, por contraseña y por PIN (compatible con huellas) |
Verificación en dos pasos | Sí | Sí |
Protección contra capturas de pantalla | No | Sí, opcional |
Mensajes autodestruíbles | No | Sí, en chats secretos |
Teclado en modo incógnito | No | Sí, en chats secretos |
Borrado de mensajes | Sí, hasta 1 hora después | Sí, en cualquier momento y también los mensajes recibidos |
Cuenta enlazada a número de teléfono | Sí | Sí, pero no es obligatorio |
La balanza se decanta desde luego a favor de Telegram en varias opciones, y por ejemplo ese requisito de enlazar WhatsApp a un número de teléfono plantea una limitación importante para el anonimato y la privacidad en este servicio.
Pero es que privacidad, como decíamos, no es seguridad. Que en una aplicación no se hayan descubierto problemas de seguridad no significa que no los tenga. Puede que estén latentes o incluso que esos problemas de seguridad y vulnerabilidades ya estén siendo aprovechadas para todo tipo de fines -probablemente delictivos- sin que nos enteremos.
Bruce Schneier, uno de los gurús del segmento de seguridad, ha trabajado en este campo durante décadas, pero las asunciones y los principios básicos no cambian. Lo decía hace casi 20 años:
Ningún producto de seguridad informática es perfecto. Cada día se descubren nuevas vulnerabilidades de seguridad en sistemas operativos, software de servidor, aplicaciones de Internet, cortafuegos y otros dispositivos de seguridad. Estos productos no muestran signos de ser más seguros; en todo caso, la creciente complejidad de Internet los está llevando a ser aún menos seguros. Necesitas detección y respuesta.
Así pues, las acusaciones de Pavel Durov en su singular texto tienen mucho de mensaje publicitario y poca consistencia. Habla de puertas traseras, de que "a los dictadores les gusta WhatsApp" y de cómo Telegram es Open Source cuando esa afirmación tiene letra pequeña.
De hecho las críticas a esa presunción de Durov que una y otra vez presume de que Telegram es Open Source son numerosas. Ed Baev, el COO de Yalantis, explicaba cómo funciona la API de Telegram y cómo el código fuente de Telegram, aunque disponible, no puede ser reutilizado. La propia Telegram explica cómo "no todo es Open Source" en su FAQ.
Eso hace difícilmente creíble la crítica de Durov, que tira la piedra y esconde la mano: lanza acusaciones sin proporcionar demostraciones claras de que esas acusaciones son ciertas, y mezcla constantemente problemas de seguridad o de privacidad. El CEO de Telegram afirma que "en casi 6 años de su existencia, Telegram no tuvo ninguna fuga de datos importante o fallo de seguridad del tipo que WhatsApp demuestra cada pocos meses", pero esa afirmación también es cuestionable.
De hecho Telegram también ha estado expuesta a vulnerabilidades. Kaspersky hablaba de imágenes maliciosas en el servicio a principios de 2018. Más tarde aparecían conflictos de seguridad que sí afectaban a la privacidad de sus usuarios desvelando sus direcciones IP, y el verano pasado también se descubrió cómo otra vulnerabilidad zero-day permitía a un ciberatacante ejecutar programas de minería de criptodivisas en nuestros dispositivos vía Telegram.
Telegram is _never_ the solution. Friends don't let friends use Telegram. This'll be a thread! #
— Evan Sultanik (@ESultanik) 16 de mayo de 2019
Recientemente se descubría cómo Telegram estaba siendo usada como infraestructura para la gestión y control de malware por problemas en la Bot API, y bases de datos de seguridad como CVE registran algunos casos más que demuestran que la seguridad en esta plataforma no es perfecta.
Puede que en WhatsApp se hayan descubierto más vulnerabilidades -algo hasta cierto punto normal teniendo en cuenta que es un objetivo más jugoso para los cibercriminales- y que no sea perfecto en materia de seguridad, pero Telegram tampoco lo es. Y como ellas dos, todo el resto. Para creernos el mensaje de Durov necesitamos algo más que un texto dirigido a crear miedo, incertidumbre y dudas. Necesitamos pruebas.
.