Telegram: ¿cuál es su nivel de anonimato?

Telegram se ha ganado una reputación como una de las plataformas de mensajería más seguras y respetuosas con la privacidad en el mercado. En un mundo donde la privacidad digital es cada vez más valorada, ESET, compañía líder en detección proactiva de amenazas, analiza el nivel anonimato y seguridad de esta.

Los puntos principales de privacidad analizados por ESET son:

Cifrado: Telegram ofrece dos tipos de cifrado: cliente-servidor para chats normales y cifrado de extremo a extremo en los chats secretos que garantiza que solo el remitente y el destinatario pueda leer los mensajes, un punto a favor en términos de seguridad.

A pesar de que Telegram asegura que el cifrado cliente-servidor es robusto, la posibilidad de que la empresa (o cualquier entidad que logre acceder a sus servidores) tenga acceso al contenido de las conversaciones es un riesgo a tener en cuenta. Telegram utiliza su propio protocolo de cifrado, MTProto, que, si bien es de código abierto y ha sido auditado por la comunidad, su diseño y la centralización del servicio, podría ser un talón de Aquiles en términos de seguridad.

“Un aspecto clave del debate sobre el anonimato en Telegram es el requisito de registrar una cuenta con un número de teléfono -aunque permite también el uso de alias-. Esto representa una posible vulnerabilidad: si un adversario logra asociar ese número con la identidad real de un usuario, el anonimato se desvanece. La posibilidad de ocultar el número de teléfono de otros usuarios es parte de las opciones de privacidad avanzadas, pero si no se configuran adecuadamente, se puede exponer más información de la deseada. Es fundamental que los usuarios en la comunidad de ciberseguridad sean conscientes de estas configuraciones y las ajusten según sus necesidades”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Metadatos: Más allá del contenido de los mensajes, Telegram almacena metadatos que pueden ser reveladores y proporcionar un mapa detallado de las relaciones y patrones de comunicación. Estos metadatos son valiosos para entidades que deseen trazar redes de contactos y actividades, lo que representa un riesgo para aquellos que buscan el anonimato total.

Jurisdicción y políticas de privacidad: Si bien Telegram está desde 2018 registrada en Dubái, ha estado registrada en varios otros países debido a razones legales y de seguridad. En sus primeros años, Telegram estuvo vinculada a Berlín, después en Londres y más tarde en Singapur. El constante cambio de sede está motivado por la filosofía de la empresa de evitar la presión gubernamental y mantener su independencia en términos de privacidad y libertad de expresión. Esto incluye su negativa a proporcionar datos de usuarios a los gobiernos, lo que ha causado fricciones con las autoridades en diferentes países.

La mudanza a Dubái en 2018 fue parte de la estrategia de la empresa para evitar regulaciones estrictas y continuar operando de forma global sin comprometer sus principios, pero también deja las regulaciones legales en un gris. Aunque la empresa asegura que nunca ha compartido datos con gobiernos ni terceros, y que solo lo haría ante una orden judicial “incontestable”, el hecho de que pueda cumplir con solicitudes legales es motivo de cuestionamiento por parte de sus usuarios. 

“Para ESET es evidente que Telegram ofrece un buen nivel de privacidad, siempre y cuando se utilicen sus funciones adecuadas, como los chats secretos y una configuración de privacidad robusta. Sin embargo, no es una plataforma completamente anónima. El requisito de un número de teléfono y el almacenamiento de metadatos significan que, para aquellos que necesitan un anonimato total, Telegram puede no ser suficiente. Alternativas más estrictamente centradas en el cifrado de extremo a extremo en todos los chats, o aplicaciones que no requieren identificación alguna, podrían ser más adecuadas para quienes buscan un refugio más robusto en cuanto a su privacidad digital”, concluye el investigador de ESET.

Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/seguridad-moviles/telegram-es-realmente-anonimo/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Bot de Telegram ayuda a ciberdelincuentes a cometer estafas en plataformas online de compraventa.

Cada vez más personas optan por las compras en línea dado su comodidad, que las entregas son al domicilio y a veces es posible incluso ahorrar dinero. Desgraciadamente, los estafadores abusan de ello y se dirigen a estos servicios y a sus clientes en beneficio propio. De esta manera, pueden crear un anuncio de productos que no existe y, una vez que la víctima paga, desaparecen en el éter. Recientemente ESET, compañía líder en detección proactiva de amenazas, identificó el código fuente de un conjunto de herramientas que hace que los estafadores no necesiten ser expertos en informática. En este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones. 

A este kit ESET lo nombró Telekopye como la combinación de Telegram y kopye (копье), que en ruso significa lanza, debido al uso de phishing altamente dirigido. Los estafadores llaman mamuts a las víctimas de esta operación y varias pistas apuntan a Rusia como país de origen de los autores y usuarios del kit de herramientas. Telekopye fue subido a VirusTotal en múltiples ocasiones.

“Hemos descubierto y analizado Telekopye, un conjunto de herramientas que ayuda a las personas menos técnicas a realizar estafas en línea con mayor facilidad. Estimamos que Telekopye estaba en uso desde al menos 2015. Nos centramos en una versión, analizando sus principales capacidades y descubriendo cómo funcionan internamente. Estas capacidades incluyen la creación de sitios web de phishing, el envío de SMS y correos electrónicos de phishing y la creación de capturas de pantalla falsas. También describimos la jerarquía de los grupos que utilizan Telekopye. Gracias a nuestra telemetría, también descubrimos que esta herramienta sigue en uso y en desarrollo activo”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

Aunque los principales objetivos de Neanderthals son los mercados online como OLX y YULA, desde ESET se observó que sus objetivos son también mercados online como BlaBlaCar o eBay, e incluso otros como JOFOGAS y Sbazar. Solo para ilustrar lo grandes que son algunos de estos mercados, la plataforma OLX tuvo, según Fortune, 11.000 millones de páginas vistas y 8,5 millones de transacciones al mes en 2014.

Las versiones que se recopilaron desde ESET de Telekopye sugieren un desarrollo continuo. Las mismas se utilizan para crear páginas web de phishing y enviar mensajes de phishing por correo electrónico y SMS. Además, algunas versiones de Telekopye pueden almacenar datos de las víctimas (normalmente detalles de tarjetas o direcciones de correo electrónico) en el disco donde se ejecuta el bot. “Telekopye es muy versátil, pero no contiene ninguna funcionalidad de IA de chatbot. Por lo tanto, en realidad no realiza las estafas; sólo facilita la generación de contenidos utilizados en dichas estafas. En julio de 2023, detectamos nuevos dominios que encajan con el modus operandi de los operadores de Telekopye, por lo que siguen activos. La última versión de Telekopye que hemos podido recopilar es del 11 de abril de 2022. Evaluamos que Telekopye ha estado en uso desde al menos 2015 y, basándonos en fragmentos de conversaciones entre neandertales, que diferentes grupos de estafadores lo están utilizando.”, agrega Gutiérrez Amaya de ESET.

En cuanto a la estafa Telekopye, en primer lugar, los Neandertales una vez que encuentran a sus víctimas (mamuts) intentan ganarse su confianza y persuadirles de que son confiables. Cuando los atacantes creen que un “mamut” confía lo suficiente en ellos, utilizan Telekopye para crear una página web de phishing a partir de una plantilla prefabricada y envían la URL a la posible víctima, incluso a través de mensajes SMS o correo electrónico. Después de que el mamut envía los datos de la tarjeta a través de esta página, los neandertales utilizan estos datos de la tarjeta para robar dinero de la tarjeta de crédito/débito del mamut, mientras ocultan el dinero utilizando varias técnicas diferentes, como blanquearlo a través de criptomonedas; desde ESET se identificaron algunos servicios de cryptocurrency mixing involucrados en estas operaciones. 

Telekopye dispone de varias funcionalidades diferentes que los Neandertales pueden aprovechar al máximo. Estas funcionalidades incluyen el envío de correos electrónicos de phishing, la generación de páginas web de phishing, el envío de mensajes SMS, la creación de códigos QR y la creación de capturas de pantalla de phishing.

La característica principal de Telekopye es que crea páginas web de phishing a partir de plantillas HTML predefinidas bajo demanda. Un Neanderthal debe especificar en esta plantilla detalles como la cantidad de dinero, el nombre del producto, ubicación a la que se enviaría el producto, la foto, el peso, y el nombre del comprador. A continuación, Telekopye toma toda esta información y crea una página web de phishing para materializar el engaño. Estas páginas están diseñadas para imitar diferentes sitios de inicio de sesión de pagos/bancos, pasarelas de pago de tarjetas de crédito/débito, o simplemente páginas de pago de diferentes sitios web. Para facilitar el proceso de creación de páginas web de phishing, estas plantillas de páginas web están organizadas por países a los que se dirigen. 

ESET comparte algunas recomendaciones para evitar ser estafado por este grupo:

• La forma más fácil de saber si se está en el radar de un Neanderthal es fijarse bien en el lenguaje utilizado en la conversación, sea en un correo electrónico o página web. Aunque, lamentablemente, esto no es infalible, ya que algunos de estos intentos de estafa corrigieron errores gramaticales y de vocabulario.

• Insistir en que el intercambio de dinero y bienes sea en persona, cuando sea posible, en el caso de artículos de segunda mano vendidos online. Ya que usualmente no están protegidos por instituciones o servicios conocidos y estas estafas son posibles porque los neandertales fingen que ya hicieron un pago online, o ya enviaron el producto que se pretendía comprar. Por supuesto que la entrega en persona no siempre es posible, y puede no ser segura por lo que hay que extremar las precauciones, cuando se utiliza un servicio de mercados online.

• Evitar enviar dinero a menos que se esté seguro; comprobar que la página web no tenga errores gramaticales o fallas de diseño gráfico. Si se tiene suerte, una plantilla puede tener algunas imprecisiones. Comprobar también el certificado de la página web y fijarse bien en la URL, que puede hacerse pasar por un enlace real.

• Tener cuidado con el ofrecimiento forzado de un medio de pago, si el engaño es de una compra falsa, con frases como "Te enviaré el dinero a través del servicio XYZ. ¿Sabes cómo funciona?". En su lugar, preguntar por otro tipo de plataforma de pago que sea familiar. Esto no es infalible porque los estafadores tienen múltiples plantillas que pueden imitar servicios de pagos online, pero es posible que se pueda reconocer una plantilla falsa más fácilmente si se utiliza un método de pago conocido.

• Extremar las precauciones si se reciben enlaces por mensajes SMS o correos electrónicos, aunque parezcan proceder de una fuente de confianza. Los neandertales no son ajenos a la suplantación de identidad por correo electrónico. Una buena regla general es visitar directamente la página web del supuesto servicio (no utilizar el enlace del correo electrónico/SMS), y por caso, consultar en atención al cliente.