Según la crónica de EL PAÍS, uno de los grandes desencuentros en la negociación de investidura fue por la app de mensajería que usa cada partido: «Se vive un momento surrealista propio de la hora, el estrés y cierto salto generacional. Podemos vive en Telegram. Calvo en WhatsApp, como casi todo el PSOE», dice el texto.

El secretario general de Podemos, Pablo Echenique, apenas usa WhatsApp y tardó en ver un mensaje, lo que provocó la última ruptura. Como parece que no hay gobierno, entre otras cosas, por culpa de una app, es hora de advertir a Podemos que Telegram tampoco es milagroso. De cara a las próximas negociaciones, igual ayuda.

Desde sus inicios, Podemos optó por Telegram. La fundación del partido y la compra de WhatsApp por Facebook coincidieron a principios de 2014. Entonces Facebook no tenía la mala fama de ahora, pero Telegram había nacido en agosto de 2013 y venía con el sello de ser más segura. Como también daba la opción de suscribirse a canales, parecía encajar mejor con Podemos.

Desde hace unos meses, los políticos españoles van apareciendo en Signal

La percepción de seguridad de las aplicaciones de mensajería varía. Desde hace unos meses, los políticos españoles van apareciendo en Signal, la última moda en encriptación. Telegram y Signal permiten ver quién de tu lista de contactos se da de alta en la aplicación. Un periodista con la agenda llena de políticos puede ver cómo miembros de todos los partidos van apareciendo en Signal, con la aparente esperanza de que allí nada se filtrará. (Aviso: todo puede pasar.)

El último escándalo en Brasil es una prueba de que las apps de mensajería son tan hackeables como su eslabón más débil. El juez Sergio Moro mandaba consejos por Telegram a fiscales del caso Lava Jato para que apuntalaran mejor el caso contra el ex presidente Lula da Silva. Los jueces deben mantenerse al margen de ese proceso. El caso Car Wash impidió a Lula seguir en la carrera de las últimas elecciones, lo que convirtió automáticamente en favorito al actual presidente, Jair Bolsonaro. Una vez en la presidencia, Bolsonaro nombró ministro de Justicia al juez Moro.

El periodista del caso Snowden

Una filtración a Glenn Greenwald, el periodista que publicó la exclusiva de Edward Snowden en el Guardian y que vive en Brasil, permitió que el medio digital The Intercept sacara en junio una serie de reportajes con los mensajes y la presunta corrupción de Moro.

La semana pasada la policía brasileña detuvo a cuatro sospechosos del hackeo, tres hombres y una mujer. En su declaración, el principal acusado, Walter Delgatti Neto, explica cómo accedió progresivamente a cientos de mensajes en el Telegram de altos cargos.

El objetivo es que el código que dará acceso a Telegram en otro dispositivo acabe en el buzón de voz

Empezó con un fiscal local que le había metido en la cárcel por tráfico de drogas. El método de hackeo es relativamente sencillo. Después de conseguir el número de teléfono del fiscal, entraba en Telegram y pedía que le mandara un código para abrir sus mensajes en la versión web. Telegram permite que ese código se mande con una llamada y un mensaje de audio al número provisto. El hacker entonces inunda de llamadas el teléfono del interceptado y el código acaba en el buzón de voz. Otra opción es mirar en su agenda pública o en Twitter cuando el objetivo dice que está a punto de volar (y tendrá por tanto el modo avión conectado) para lanzar la operación.

El objetivo es que el código que dará acceso a Telegram en otro dispositivo acabe en el buzón de voz. Luego, llega el momento de hackear el buzón de voz. «La seguridad de un sistema tan robusto como Telegram con su cifrado punto a punto es tan fuerte como el pin de tu buzón de voz», explica Martín Vigo, investigador en seguridad y fundador de Triskel Security. «El agujero de las aplicaciones de mensajería no es en el buzón de voz como tal, más bien es permitir que una acción sensible (como es migrar tu cuenta a un dispositivo nuevo) se pueda llevar a cabo a través de una línea insegura como es una llamada telefónica», añade.

Según cuenta Delgatti, lo que hizo fue conseguir el ID del teléfono del interceptado y suplantarlo. Las tecnologías de llamada por IP permiten falsear ese identificador. Es un método de estafa común. Una vez hecho eso, Delgatti se hacía pasar por el número del fiscal y se llamaba a sí mismo. «Ciertos operadores no piden el pin del buzón de voz si uno se llama a sí mismo. Se asume que el el propio usuario el que esta intentando acceder al buzón de voz y se le da acceso directamente. El problema es que suplantar un identificador de llamada es muy sencillo y servicios por internet te lo ofrecen sin necesidad de ninguna capacidad técnica», dice Vigo.

Ni pin ni nada

Pero aunque hubiera pin, Vigo es especialista en averiguar esa cifra con unos cuantos intentos. En una presentación pública que hizo con WhatsApp, Vigo demostró que aún con contraseña o incluso cuando el contestador nos pide pulsar alguna tecla –como hace Paypal– es técnicamente posible burlarlo.

Telegram, WhatsApp y Signal tienen un agujero que no depende de su encriptado

Una vez dentro del Telegram del fiscal local, Delgatti vio que había números de figuras de mayor renombre. Con el mismo método, fue escalando hasta llegar al ministro. Allí vio que había un buen lío político y decidió pasar los mensajes a Greenwald, siempre según su versión.

Hay dudas razonables sobre si esta versión es precisa porque la policía federal sospecha de que hay unas mil personas que han sido víctima de hackeo, y Delgatti dice que todo esto lo ha hecho en unos meses este año. Es difícil que con este método llegaran a un volumen así.

Pero más allá de si el camino ha sido este o el sim swapping, Telegram, WhatsApp y Signal tienen un agujero que no depende de su encriptado, sino de la contraseña del buzón de voz. Las operadoras también son responsables de la falta de cuidado que ponen en que sus buzones estén bien protegidos. Las contraseñas de cuatro dígitos suelen venir de fábrica, coincidir con cifras del número de teléfono o ser fácilmente adivinables (¿quién no se ha puesto alguna vez el año de nacimiento?)

Podemos puede seguir en confiando en Telegram y tardar en ver los mensajes de la vicepresidenta en funciones, Carmen Calvo. Pero deben saber también que alguien malintencionado podría haber filtrado toda la estrategia de Echenique, Pablo Iglesias e Irene Montero, en un rato.

Además de usar el modo conversación secreta para los mensajes muy privados, donde se autodestruyen, hay un par de soluciones razonables que pocos usuarios emplean: uno, activar los dos factores de autenticación. Las apps de mensajería permiten activar una contraseña que complemente el código que mandan por teléfono. Nadie podría entonces acceder desde fuera. Dos, tener un segundo número de teléfono para estas aplicaciones. Así por ejemplo quien tenga uno de los dos números no ve tan fácilmente que hace alguien con el otro. Son prácticas que llevan tiempo, pero ejemplos como el brasileño irán enseñando el camino.




Fuente: El Pais

A %d blogueros les gusta esto: