Actualidad

Telegram – La ilusión de la privacidad y seguridad

- Tenga en cuenta que Telegram es una aplicación gratuita. Cualquier desarrollador o empresa que lo use debe sopesar los riesgos de compartir información confidencial o valiosa a través de esta aplicación -

Telegram La ilusión de la privacidad y seguridad

La introducción de un bot en una conversación segura de Telegram reduce el nivel de cifrado, sin proporcionar ninguna pista visual.

La aplicación Telegram es importante por dos razones muy diferentes. Una es que la aplicación es una herramienta de comunicación encriptada para cientos de millones de usuarios en todo el mundo, particularmente aquellos que buscan eludir la vigilancia y la censura del gobierno en países como Rusia e Irán.

 La otra es que muchos expertos en criptografía han puesto en duda la integridad del esquema de cifrado de Telegram. Un nuevo informe de la firma de seguridad web Forcepoint, sobre el uso de bots de Telegram, tiene implicaciones tanto para los usuarios de Telegram como para sus críticos.

Los bots de Telegram son pequeños programas que pueden incrustarse en chats de Telegram o canales públicos y realizar una función específica. Pueden ofrecer teclados personalizados, producir memes de gatos a pedido o incluso aceptar pagos y actuar como una tienda digital. Los bots son populares en Telegram porque son divertidos y convenientes, 
«Esto es algo que te afecta si estás operando un bot o estás en un canal con bots«, dice Luke Somerville, jefe de investigaciones especiales en Forcepoint. 

«Seré honesto, nos sorprendió cuando nos dimos cuenta de que la seguridad del bot es tan diferente de cómo funciona la mensajería normal».

dice Luke Somerville


Por mucho que Pavel Durov (cofundador de Telegram) insista en la seguridad y privacidad de nuestros datos en Telegram, al final todo se puede resumir todo en una BONITA ILUSIÓN de tener el control sobre los mismos.


Telegram al ser una aplicación basada en la nube nuestros datos se almacenan sus servidores, estos datos son accesibles para Telegram debido a que las claves de encriptación de los chats, grupos y canales están guardadas en sus servidores.


Es necesario que las CLAVES SE GUARDEN EN SUS SERVIDORES para poder tener ofrecer aplicaciones multidispositivo sin depender del dispositivo principal en el que tenemos instalada la aplicación.

Esto quiere decir que Telegram está almacenando un montón de información sobre nosotros que podría usar en cualquier momento para cualquier propósito como para saber los gustos de cada usuario, saber nuestra tendencia ideológica, nuestras contraseñas (si alguna vez las enviamos por Telegram), etc…

Específicamente, los bots de Telegram no usan MTProto, el protocolo de encriptación de Telegram, que crea el marco en el que los mensajes de los usuarios entre sí se codifican e ilegibles mientras están en tránsito entre los dispositivos del remitente y el destinatario.

El Bot se utiliza para comunicaciones automatizadas o actualizaciones entre equipos, como grupos de desarrolladores, así como para conversaciones automatizadas que comparten noticias o actualizaciones.
Recientemente el equipo de Telegram lanzó un concurso para desarrollar una IA para que identifique y ordenar los artículos de noticias, estos artículos los obtiene Telegram mediante la realización de scraping (técnica que consiste en la obtención de información de una web mediante el uso de un script/programa) a distintas webs de noticias para generar Instant Views de las mismas.Al usar las Instant View a los usuarios no se les muestra ningún anuncios y los creadores de la web «NO RECIBEN NINGÚN BENEFICIO.»

Seguramente una gran mayoría de webs que cuentan con soporte para las Instant View no saben que es Telegram, ni saben que les están «ROBANDO» sus artículos mediante el scraping para mostrarlos en Telegram sin anuncios.

Muchas webs no están de acuerdo con usar el uso de su información que hace Telegram y el «ROBO» de contenido que hacen sin su permiso.

Pero la plataforma de bots de Telegram se basa en cambio en el protocolo de seguridad de la capa de transporte utilizado en el cifrado web HTTPS . TLS es excelente para muchas cosas, pero no es lo suficientemente robusto como para actuar como el único cifrado en un servicio de comunicación seguro destinado a brindar protección avanzada. 

Es por eso que aplicaciones como Signal y WhatsApp usan el Protocolo de señal, y Telegram tiene MTProto. Sin embargo, al construir su plataforma de bots sin MTProto, Telegram crea una situación en la que introducir un bot en un chat o canal esencialmente degrada su cifrado.

Los investigadores probaron una muestra de malware de administración remota denominada GoodSender e identificaron el mecanismo dentro del código que esperaba los comandos de un bot de Telegram. 

El malware incluía dos piezas de información de identificación y autenticación de Telegram, llamadas token de API de bot e ID de chat, que se utilizan para dirigir las consultas de los bots a los chats correctos. Armados con estos detalles, los investigadores se dieron cuenta de que podían crear solicitudes de API que esencialmente reproducirían todas las comunicaciones entre el autor del malware y su bot

Debido a que el pirata informático cometió el error de realizar todas sus pruebas e implementación en una configuración de bot (en lugar de cubrir sus pistas usando varias cuentas), los investigadores pudieron estudiar cómo había configurado, probado y finalmente comenzó a implementar el malware. .

Si bien los investigadores de Forcepoint usaron la API de Telegram para espiar las comunicaciones del bot del hacker como parte de un análisis de defensa bien intencionado, enfatizan que alguien más podría usar la misma técnica para un mal y mirar hacia atrás en una conversación completa en la que está presente un bot.

Incluso alguien que no tenga un token de API de bot de chat y un ID de chat de una muestra de malware podría extraerlos de otras maneras. 

Ambas piezas de información están integradas en cada comunicación de Telegram, por lo que los bots pueden saber qué datos o servicio enviar a qué chat.

Tenga en cuenta que Telegram es una aplicación gratuita. Cualquier desarrollador o empresa que lo use debe sopesar los riesgos de compartir información confidencial o valiosa a través de esta aplicación


La idea de que la propia función de un servicio de mensajería segura podría degradar su esquema de cifrado, sin dar ninguna pista visual al usuario, es preocupante. 

«Puede crear su propia cuenta de Telegram de grabación y decirle al bot que le reenvíe estos mensajes», dice Somerville. «Es relativamente trivial de hacer, y puedes reenviar todos los mensajes en ese canal al que el bot ha tenido acceso. 

PODRÁN LEER TODOS LOS MENSAJES QUE HAN INTERCAMBIADO».

Si te quieren robar la cuenta de Telegram pueden…

Pongamos que somos usuarios de Telegram Desktop (la versión para PC de Telegram), este cliente tiene la peculiaridad que nuestra sesión se guarda en un archivo situado (en el caso de Windows) en:

 C://Users/<tu_nombre_de_usuario>/AppData/Roaming/Telegram Desktop/tdata, la carpeta «TDATA» 

Contiene la información sobre nuestra sesión de Telegram Desktop que tenemos abierta. Esta carpeta podría ser robada por un malware como «TELESHADOW» o similares dándole a los atacantes acceso a nuestra cuenta y con ello a toda la información que tenemos en Telegram. 

NO IMPORTA QUE TENGAS LA VERIFICACIÓN EN DOS PASOS, CLONANDO LA SESIÓN PUEDEN VER TODO.


Ahora sobre como personas ajenas al equipo de Telegram pueden estar aprovechando la plataforma para obtener muchos datos y información sobre nosotros. La gran mayoría de bots unidos a un grupo reciben todos los mensajes que se envían en el chat siempre que debajo del bot en la lista de miembros ponga «Tiene acceso a los mensajes» (este permiso es necesario para poder leer todo lo que se mande, en caso contrario solo respondería a los comandos que incluyan el alias del bot. Ej: 

/start@nombre_bot).

Los bots de Telegram no están protegidos mediante su protocolo de cifrado, MTProto. 

En cambio, la plataforma de bot se basa en el protocolo Transport Layer Security (TLS) utilizado en el cifrado web HTTPS, que no es lo suficientemente robusto por sí solo.

Por lo tanto, dicen los investigadores, un atacante en la posición MitM con capacidad para descifrar TLS podría obtener acceso al token del bot, así como al chat_id, lo que provocaría un compromiso total de la comunicación actual.


Un malware en cuestión, denominado ‘GoodSender’, opera de una manera simple: una vez que se elimina, crea un nuevo usuario administrador y habilita el escritorio remoto, al mismo tiempo que garantiza que el firewall no lo bloquee

El nombre de usuario del nuevo usuario administrador es estático, pero la contraseña se genera aleatoriamente. Si alguien puede llevar a cabo un ataque MiTM en esta conversación, el atacante lo verá todo y luego también podrá ver el historial de chat completo. Entonces, si los bots de Telegram se utilizan en canales que comparten información privada, confidencial o valiosa, un atacante podría verla y muy fácilmente

Una gran parte de los bots solo procesa la información simplemente para detectar spam, responder a comandos sin tener que poner el alias, … 

Pero siempre existen terceros  que almacenan la información sobre nosotros y que después podrían usar para otros fines.


Telegram, el servicio de mensajería cifrada, se está utilizando como una infraestructura de comando y control para el malware , según descubrió una investigación de investigadores de Forcepoint Security Labs.


Security Labs advierte que los usuarios preocupados por esto eviten usar bots de Telegram y no utilicen canales y grupos en los que esté presente un bot. 

«Con respecto al malware GoodSender, o de hecho cualquier otro malware que utilice bots de Telegram como mecanismo de comando y control, recomendamos, como siempre, que los usuarios se aseguren de tener una sólida protección contra malware”.

Para mantener seguras sus comunicaciones de Telegram, no agregue bots a sus chats y esté atento cuando esté en chats y canales que los incluyan. 

Y para mantener los mensajes en secreto, siempre minimice la cantidad de personas en un chat para reducir la exposición. Sin embargo, muchos criptógrafos e ingenieros de seguridad, incluido White, dicen que la forma más segura de usar Telegram es simplemente no usarlo en absoluto. Dudan que Telegram esté completamente encriptado de un extremo a otro (una protección que no está activada por defecto de todos modos) y les preocupa que el protocolo MTProto personalizado sea difícil de examinar por completo.

 Pero para los 200 millones de seguidores de la aplicación, las diferencias de seguridad entre los chats que incluyen bots y los que no son importantes.

Quieres ver un ejemplo de lo fácil que es interceptar un Bot:

Mira aquí hasta las imágenes de tu Instagram, se pueden llevar..

Telegram - La ilusión de la privacidad y seguridad 1

Fuente
telegram mtprotoDiginotaForbesWiredForcepoint

diginota

Diginota.com: Es una Revista on-line, Internet, tecnologías, con los trucos y Notas insólitas, extrañas y mucho mas... . Proporcionamos Noticias Técnicas, Revisiones, consejos, Como Hacer, todo esto y mucho más. Desde el 2005. Si quieres saber más de diginota En mis redes sociales a pesar de estar en varias, Soy mas activo en Twitter y de allí dispuesto a ayudarte en lo que pueda.