Mucho se está hablando estos días del arresto de Pavel Durov, CEO de Telegram. El motivo es una investigación centrada en la falta de moderación en Telegram y cómo ese problema da lugar a actividades criminales en la plataforma.
Con 900 millones de usuarios, Telegram uno de los grandes rivales del mundo de la mensajería instantánea, y muchos usuarios probablemente asumen que sus conversaciones allí están protegidas.
El hecho es que en la mayoría de los casos no lo están.
Es algo sabido desde hace años. Cuando hablamos de cifrado en aplicaciones de mensajería, solemos hablar de cifrado de extremo a extremo (E2E, por ‘End to End’).
En este tipo de cifrado se garantiza que todos los mensajes están cifrados con claves que solo conocen los extremos de la conversación, y no el proveedor de servicio. Nadie salvo los usuarios que se están mandando mensajes conoce el contenido, y no es posible espiar dichas comunicaciones.
Y lo cierto es que Telegram no tiene cifrado E2E activado por defecto en la plataforma. Si quieres usar ese tipo de protección puedes hacerlo, pero debes activar una característica opcional llamada «Chats Secretos» para poder iniciar una comunicación privada. En dichas conversaciones sí se hace uso del cifrado propio de Telegram, llamado MTProto 2.0.
Es más: dicha característica solo está disponible en chats de uno a uno, y no se puede utilizar en chats de grupo y canales. El proceso de creación, además, implica realizar varias operaciones en la app que no son del todo intuitivas y directas.
La dificultad que plantea Telegram a la hora de activar estos chats secretos hace que sea natural pensar que la seguridad de la plataforma es discutible. Es probable que no haya muchos usuarios que activen dicha opción porque ni siquiera la conocen —o creen erróneamente que el cifrado E2E está activado por defecto—.
Mientras, lo que está ocurriendo es que la inmensa mayoría de las conversaciones en Telegram están probablemente disponibles en texto plano en los servidores de Telegram… y quizás disponibles para agencias de inteligencia. Si alguien de la empresa quisiera ver esos mensajes, podría hacerlo, y un posible fallo de seguridad también podría hacer que tras un potencial ciberataque alguien robase esos mensajes con todo lo que eso implica.
Telegram no es seguro (en la mayoría de los casos) diga lo que diga su CEO
Eso sí: es en este momento cuando habría que plantearse una pregunta. ¿Dónde es realmente importante el cifrado de mensajes? Telegram se ha convertido en algo más que una plataforma de mensajería instantánea: es casi una red social.
Y lo es por los célebres Canales de Telegram. Cada uno de ellos funciona como una red de difusión de mensajes en la que una persona (o un pequeño grupo de ellas) publican contenido que luego puede llegar a cientos, miles e incluso millones de usuarios.
En este tipo de mensajes el cifrado no parece tan relevante, sobre todo porque estos canales se comportan a menudo como «plazas públicas» en las que alguien quiere ser «oído» por todos los que están en ese lugar. No hay en estos casos una expectativa de privacidad —cualquiera puede enterarse de lo que se dice acercándose a la plaza—, y ese cifrado E2E no importa.
Otra cosa es si tú estuvieras dentro de la plaza y quisieras tener una conversación privada con otros tres o cuatro amigos. En Telegram simplemente no podrías aunque quisieras, porque esas conversaciones, aunque quizás no puedan ser «escuchadas» por otros usuarios ya que no están en el chat de grupo, sí pueden ser espiadas por los responsables de Telegram que tengan acceso a sus servidores.
Y precisamente el problema aquí es que el CEO de Telegram suele sacar pecho al hablar de la seguridad y el cifrado de Telegram. Las críticas en este ámbito llevan presentes desde al menos 2016, y expertos como Matthew Green, profesor de criptografía en la Universidad Johns Hopkins, recalcaron recientemente que Telegram no es seguro.
Mientras, Durov no para de lanzar ataques contra WhatsApp, que afirma que la gente debería borrar. O contra Signal, probablemente la aplicación de mensajería más reputada por sus sistemas de cifrado. Según el CEO de Telegram, Signal mantiene lazos con las agencias de inteligencia de EEUU y por tanto los mensajes allí publicados, pese al cifrado E2E que se aplica en todos ellos, no están seguros.
Es una acusación grave, sobre todo teniendo en cuenta que el protocolo Signal también se usa en el cifrado E2E de WhatsApp desde hace años. Los propios responsables de Signal contestaron a esas acusaciones, pero aun así los intentos de Durov por plantear Telegram como la alternativa realmente segura mientras ataca otras opciones (que realmente lo son más) es preocupante.
Imagen | Lana Codes
En Xataka | Telegram: 46 trucos y consejos para exprimir al máximo una app que no sólo sirve para mensajería
En Xataka | Signal vs Telegram vs WhatsApp: cuáles son las diferencias y cuál cuida más tu privacidad