_
_
_
_

Podemos se fía más de Telegram, pero el escándalo brasileño del juez Moro prueba que se equivoca

Como WhatsApp y Signal, tiene un agujero de seguridad enorme a través del buzón de voz

El diputado de Unidas Podemos Pablo Echenique habla con los medios en el Congreso en el día de la segunda votación de investidura.
El diputado de Unidas Podemos Pablo Echenique habla con los medios en el Congreso en el día de la segunda votación de investidura.GTRES
Jordi Pérez Colomé

Uno de los grandes desencuentros en la infructuosa negociación de investidura, según la crónica de EL PAÍS, fue por la app de mensajería que usa cada partido: "Se vive un momento surrealista propio de la hora, el estrés y cierto salto generacional. Podemos vive en Telegram. [La vicepresidenta en funciones, Carmen] Calvo en WhatsApp, como casi todo el PSOE", narra el texto.

El secretario de Acción Política de Podemos, Pablo Echenique, apenas usa WhatsApp y tardó en ver un mensaje relacionado con las negociaciones, lo que provocó la última ruptura. Como parece que no hay Gobierno, entre otras cosas, por culpa de una app, es hora de advertir a Podemos de que Telegram tampoco es milagroso. De cara a las próximas negociaciones, igual ayuda.

Desde sus inicios Podemos optó por Telegram. La fundación del partido y la compra de WhatsApp por Facebook coincidieron a principios de 2014. Entonces esa red social no tenía la mala fama de ahora, pero Telegram había nacido en agosto de 2013 y venía con el sello de ser más segura. A esto se sumaba la opción de poder suscribirse a canales. Todo ello parecía encajar mejor con la formación liderada por Pablo Iglesias.

Desde hace unos meses, los políticos españoles van apareciendo en Signal

La percepción de seguridad de las aplicaciones de mensajería varía. Desde hace unos meses, los políticos españoles se están apuntando a Signal, la última moda en encriptación. Esta y Telegram permiten ver qué personas de la lista de contactos se dan de alta en el servicio. Un periodista con la agenda llena de teléfonos de políticos puede ver cómo miembros de todos los partidos van apareciendo en Signal, con la presunta esperanza de que allí nada se filtrará. (Aviso: todo puede pasar).

El último escándalo en Brasil es una prueba de que las apps de mensajería son tan hackeables como su eslabón más débil. El juez Sergio Moro mandaba consejos por Telegram a fiscales del caso Lava Jato para que apuntalaran mejor el caso contra el expresidente Lula da Silva. Los jueces deben mantenerse al margen de ese proceso. El caso car wash impidió a Lula seguir en la carrera de las últimas elecciones, lo que convirtió automáticamente en favorito al actual presidente, Jair Bolsonaro. Una vez en la presidencia, Bolsonaro nombró ministro de Justicia al juez Moro.

El periodista del 'caso Snowden'

Una filtración a Glenn Greenwald, el periodista que publicó la exclusiva de Edward Snowden en The Guardian y que vive en Brasil, permitió que el medio digital The Intercept sacara en junio una serie de reportajes con los mensajes y la presunta corrupción del magistrado brasileño.

La semana pasada, la policía del país detuvo a cuatro sospechosos del hackeo, tres hombres y una mujer. En su declaración, el principal acusado, Walter Delgatti Neto, explica cómo accedió progresivamente a cientos de mensajes en el Telegram de altos cargos.

El objetivo es que el código que dará acceso a Telegram en otro dispositivo acabe en el buzón de voz

Empezó con un fiscal local que lo había metido en la cárcel por tráfico de drogas. El método de hackeo es relativamente sencillo. Después de conseguir el número de teléfono del fiscal, entraba en Telegram y pedía que le mandara un código para abrir sus mensajes en la versión web. Telegram permite que ese código se mande con una llamada y un mensaje de audio al número provisto. El hacker entonces inunda de llamadas el teléfono del interceptado y el código acaba en el buzón de voz. Otra opción es mirar en su agenda pública o en Twitter y ver cuándo el objetivo prevé tomar un vuelo, y tendrá por tanto el modo avión conectado. Y en ese momento lanzar la operación.

De nuevo, la intención es que el código que dará acceso a Telegram en otro dispositivo acabe en el buzón de voz. Luego, llega el momento de hackear ese buzón. "La seguridad de un sistema tan robusto como Telegram con su cifrado punto a punto es tan fuerte como el pin de tu buzón de voz", explica Martín Vigo, investigador en seguridad y fundador de Triskel Security. "El agujero de las aplicaciones de mensajería no es en el buzón de voz como tal, más bien es el permitir que una acción sensible (como es migrar tu cuenta a un dispositivo nuevo) se pueda llevar a cabo a través de una línea insegura como es una llamada telefónica", añade.

Según cuenta el detenido Walter Delgatti, lo que hizo fue conseguir el ID del teléfono del interceptado, y suplantarlo. Las tecnologías de llamada por IP permiten falsear ese identificador. Es un método de estafa común. Una vez hecho eso, Delgatti utilizaba el número del fiscal como si fuera el suyo y se llamaba a sí mismo. "Ciertos operadores no piden el pin del buzón de voz si uno se llama a sí mismo. Se asume que es el propio usuario el que está intentando acceder al buzón de voz y se le da acceso directamente. El problema es que suplantar un identificador de llamada es muy sencillo y servicios por Internet te lo ofrecen sin necesidad de ninguna capacidad técnica", dice el investigador en seguridad.

Ni pin ni nada

Pero aunque hubiera pin, Martín Vigo es especialista en averiguar esa cifra con unos cuantos intentos. En una presentación pública que hizo con WhatsApp, demostró que aún con contraseña o incluso cuando el contestador pide pulsar alguna tecla –como hace Paypal– es técnicamente posible burlarlo.

Telegram, WhatsApp y Signal tienen un agujero que no depende de su encriptado

Una vez dentro del Telegram del fiscal local, Delgatti vio que había números de figuras de mayor renombre. Con el mismo método, fue escalando hasta llegar al ministro. Allí vio que había un buen lío político y decidió pasar los mensajes a Greenwald, siempre según su versión.

Hay dudas razonables sobre si esta versión es precisa, porque la policía federal sospecha que hay unas mil personas que han sido víctimas de hackeo y Delgatti dice que todo esto lo ha hecho en unos meses este año. Es difícil que con este método llegaran a un volumen así.

Pero más allá de si el camino ha sido este o el sim swapping (el uso de una sim duplicada), Telegram, WhatsApp y Signal tienen un agujero que no depende de su encriptado, sino de la contraseña del buzón de voz. Las operadoras también son responsables de no reforzar la protección de sus buzones. Las contraseñas de cuatro dígitos suelen venir de fábrica, coincidir con cifras del número de teléfono o ser fácilmente adivinables (¿quién no se ha puesto alguna vez el año de nacimiento?).

Podemos puede seguir confiando en Telegram y tardar en ver los mensajes de la vicepresidenta en funciones. Pero deben saber también que alguien malintencionado podría haber filtrado toda la estrategia de Echenique, Pablo Iglesias e Irene Montero, en un rato.

Además de usar el modo conversación secreta para los mensajes muy privados, donde se autodestruyen, hay un par de soluciones razonables que pocos usuarios emplean: uno, activar los dos factores de autenticación. Las apps de mensajería permiten activar una contraseña que complemente el código que mandan por teléfono. Nadie podría entonces acceder desde fuera. Dos, tener un segundo número de teléfono para estas aplicaciones. Así, por ejemplo, quien tenga uno de los dos números no ve tan fácilmente qué hace alguien con el otro. Son prácticas que llevan tiempo, pero ejemplos como el brasileño irán enseñando el camino.

Tu suscripción se está usando en otro dispositivo

¿Quieres añadir otro usuario a tu suscripción?

Si continúas leyendo en este dispositivo, no se podrá leer en el otro.

¿Por qué estás viendo esto?

Flecha

Tu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.

En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.

Sobre la firma

Jordi Pérez Colomé
Es reportero de Tecnología, preocupado por las consecuencias sociales que provoca internet. Escribe cada semana una newsletter sobre los jaleos que provocan estos cambios. Fue premio José Manuel Porquet 2012 e iRedes Letras Enredadas 2014. Ha dado y da clases en cinco universidades españolas. Entre otros estudios, es filólogo italiano.

Más información

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_