Telegram: explican por qué los chats no están encriptados, la detención y espionaje a Pavel Durov y las polémicas sobre la app
El CEO de la aplicación de mensajería fue liberado bajo fianza, pero sigue acusado de "complicidad en la difusión de material de abuso sexual infantil". En 2017 le hackearon el teléfono y lo espiaron.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
23>30
ago
⚡ TL;DR
Hace tiempo un arresto no generaba tanta controversia en el ambiente tech: la detención de Pavel Durov, CEO y fundador de Telegram, fue el tema más fuerte de la semana, que trascendió titulares en sitios especializados para llegar a diarios, noticieros y medios tradicionales, que se vieron en apuros a la hora de explicar qué estaba pasando con el multimillonario nacido en Rusia, nacionalizado francés.
Durante el jueves se conoció la liberación bajo fianza de Durov, con la condición de que no pueda dejar Francia.
Parece necesario separar un par de cuestiones. En primer lugar, están los aspectos puramente técnicos: Telegram es una aplicación de chat muy superior a la competencia en cuanto a funciones. Casi todo lo que hoy tiene WhatsApp tiene un precursor en Telegram (mensajes de voz, material one time view, programación de mensajes e, incluso, los stickers). Esto, sumado a un cliente liviano, siempre la convirtió en una aplicación muchísimo más eficiente, con una excelente UX.
Ahora bien, por otro lado, está la cuestión de la privacidad y, sobre todo, el impresionante marketing de la aplicación en torno a estos puntos: Telegram siempre se presentó a sí misma como más privada y segura que sus competidoras y, sin embargo, es una aplicación que le avisa al resto de los contactos cuando un usuario abre una cuenta y que, por otro lado, no permite desactivar la confirmación de lectura (se me ocurren pocas funciones más invasivas de la privacidad que esto último).
Pero no es eso lo más importante. Es en este punto es donde todo se pone complejo: ¿qué hace Telegram para regular los contenidos que comparten los usuarios? Durov fue acusado de “complicidad en la difusión de material de abuso sexual infantil”, así como de facilitar el crimen organizado, transacciones ilícitas, tráfico de drogas y fraude. No es novedad que Telegram es, además de un bazar de ciberdelito -está lleno de repositorios de stealers como RedLines, algunos grupos de ransomware suben su material, ciberatacantes comercializan datos allí-, una plataforma donde se difunde pornografía infantil, se venden drogas y otros delitos.
Y, por otro lado, a mediados de semana se supo que los servicios de inteligencia de Francia hackearon el teléfono de Durov en 2017 y lo espiaron desde entonces. El gran problema que detecté durante la semana es que, a la hora de explicar el problema de su detención, la discusión se da en términos maniqueos (está bien o mal que lo detengan), de binomios y polarización.
Por este motivo, a partir de diversos artículos que se publicaron esta semana, hice una selección con desglose de las referencias, con los principales argumentos y, sobre todo, el entramado técnico del encriptado de Telegram que, a mi entender, es uno de los más interesantes -o uno de los más relevantes para esta publicación-: la aplicación dice ser privada y segura y, según indican varios especialistas, esto no es así por defecto.
Sí: Telegram no está encriptado por default (o no lo está, en el sentido en el que la app se vende a sí misma). Más abajo está explicado, en una entrega que se fue “de largo” con este tema porque, a mí entender, es de crucial importancia para entender los argumentos de la discusión sobre la mesa.
Quizás la gran pregunta de fondo es por qué esto mismo que pasó con Durov no pasa con directivos de Apple cuando, en circunstancias análogas a las de la Justicia de Francia, la empresa se niega a compartir datos de sus usuarios o desbloquear teléfonos, incluso con una orden judicial.
Si bien este tema opacó otros más de nicho, hubo varios tópicos de agenda esta semana. Una investigación reveló que Volt Thypoon, un grupo APT de ciberespionaje que representaría los intereses de China, está detrás de una serie de ataques que aprovechan un zero day en Versa Director, una plataforma de gestión de ISP y MSP.
Además, Microsoft anunció que hará una cumbre con empresas que desarrollen EDR (endpoint detect and response, antivirus básicamente) para prevenir otros incidentes como el de Crowdstrike. No admitirán prensa (sólo hubo invitaciones para quienes tengan acceso al kernel ;) ).
Moviendo a temas más locales, esta semana se hace el Segundo Encuentro Federal Cyberciruja. Se trata de un encuentro del colectivo más representativo que defiende el “derecho a reparar” en Argentina, pero que ya tiene derivas en distintos puntos del mundo como en Valencia, España, y Montevideo, Uruguay.
Y en el plano regional, la noticia con más peso fue la pelea entre Elon Musk y un juez de Brasil que amenaza con suspender Twitter (X) a nivel nacional.
Dejo un recurso: Clint Gibler, de TL;DR sec, quizás uno de los newsletters infosec más grandes en lengua angloparlante, resumió todas las charlas relacionadas a IA y seguridad del Hacker Summer Camp (BSidesLV, Black Hat USA y DEF CON). Se pueden ver, buscar o consultar en este enlace.
Dark News #99
Leer este correo te va a llevar 16 minutos.
Con años de experiencia en diagnóstico y solución de problemas IT, Buanzo Consulting trabaja en la detección temprana de vulnerabilidades y fallos en redes. Con experiencia en el mundo del código abierto y la innovación, ofrece consultoría orientada a soluciones precisas y personalizadas, asegurando que los proyectos no sólo sobrevivan, sino que prosperen.
👮♂️ El arresto de Pavel Durov, la privacidad de Telegram y la difusión de pedofilia
Pavel Durov, fundador y CEO de la app de mensajería Telegram, fue arrestado a última hora del sábado pasado, al aterrizar con su jet privado en Francia. La detención ocurrió en el aeropuerto Le Bourget, en las afueras de París, y disparó mensajes de apoyo y críticas desde distintos frentes. Los cargos contra Durov fueron publicados por el Tribunal Judicial de París, y su hermano Nikolai también es requerido por la Justicia.
Durov, nacido en Rusia y también ciudadano francés -de ahí la detención en Francia-, fue acusado de “complicidad en la difusión de material de abuso sexual infantil”, así como de “facilitar el crimen organizado, transacciones ilícitas, tráfico de drogas y fraude”. Además, fue apuntado por su "negativa a comunicar información o documentos necesarios para llevar a cabo y operar intervenciones permitidas por la ley", según el comunicado de prensa oficial de su detención.
Este jueves, Politico (versión europea) reportó que el hecho concreto que llevó al arresto fue la negativa de Telegram de identificar a un usuario específico después de varios pedidos:
El hecho concreto que llevó a la orden de detención fue la negativa de Telegram de identificar a un usuario específico luego de una petición judicial. Las órdenes de arresto contra Pavel y su hermano Nikolai fueron emitidas luego de una investigación de incógnito sobre Telegram llevada a cabo por la unidad de ciberdelito de la fiscalía de París, durante la cual un sospechoso hablaba de atraer niñas menores de edad para que “enviaran pornografía infantil de producción propia”, y luego amenazando con enviarlas por redes sociales.
Y se pone peor: “El sospechoso le dijo a los investigadores que había violado a una joven, según el documento. Telegram no respondió al pedido de las autoridades francesas para identificar al sospechoso”.
Más específica fue la fiscal de París Laure Beccuau:
La falta casi total de respuesta de Telegram a las requisitorias judiciales fue puesta en conocimiento de la sección de lucha contra el cibercrimen (J3) de JUNALCO (Jurisdicción Nacional para la Lucha contra el Crimen Organizado, dentro de la fiscalía de París), en particular por OFMIN (Oficina Nacional para Menores).
En este punto empieza a aparecer la intersección entre privacidad, anonimato y seguridad de las aplicaciones: Telegram siempre permitió usar un nombre de usuario (handle), algo que resguarda identificar a una persona con una línea telefónica (un dato siempre más preciso para individualizar a un usuario). Esto, entre otras cuestiones, la hizo atractiva para el delito.
Pero además Telegram siempre destacó el resguardo de la privacidad de quienes usan su aplicación. Y, sin embargo, esto es algo que también fue puesto en cuestión por diversos especialistas esta semana. En este momento entran los argumentos técnicos, que vale la pena repasar. Vamos.
En primer lugar, el criptógrafo Moxie Marlinspike -quien no es un actor neutral en esta discusión, en tanto es el creador y fundador del Signal Protocol (el cual usa su app de chat Signal, entre otros)-, señaló que los mensajes de Telegram no están encriptados de punta a punta (end to end), además de ser un servicio que backupea todo en la nube. Esto último significa que, aunque el usuario borre chats, estos quedan guardados en los servidores de Telegram:
Los mensajes de Telegram no están cifrados e2e. También es un «cloud messenger», lo que significa que todos los mensajes viven en los servidores de Telegram y no en el dispositivo del usuario. Con una consulta, el equipo ruso de Telegram puede obtener todos los mensajes que el presidente francés [referencia] haya enviado o recibido a sus contactos, todos los mensajes que esos contactos hayan enviado o recibido a sus contactos, todos los mensajes que los contactos de esos contactos hayan enviado o recibido, etc. Es sólo texto plano, no hay límites a lo que pueden hacer, como utilizar un LLM para ayudar a revisar todo ese material y sacar los trapos sucios, mapear las relaciones, averiguar quién guarda secretos a quién, etc. Para los políticos franceses y los miembros del gabinete, es demasiado tarde para hacer algo. Incluso si intentan borrar todos sus mensajes ahora, el equipo de Telegram puede simplemente marcar los mensajes como “borrados” para que ya no se muestren al usuario, pero no borrar realmente los datos a los que tienen acceso. Esto podría volverse realmente salvaje.
El punto más fuerte de Marlinspike es la poca confianza en que sea un “cloud messenger”, es decir, que los mensajes queden en los servidores de Telegram, incluso aún dspués de haber sido borrados por el usuario.
Pero también menciona que los mensajes no están encriptados e2e, algo que casi todos los que usan (usamos) telegram, piensan (pensamos) que sí. ¿Por qué? Porque por defecto, no viene activada esta función (!). Hay que entrar chat por chat en la configuración de cada conversación y activar los “chats secretos”.
Esto fue algo que marcó la histórica publicación The Hacker‘s Choice, que publicó un duro artículo titulado: “Dejen preso a Pavel Durov”. Explicaron:
Pavel no fue detenido por criticar a Macron. Fue detenido porque (presuntamente) facilita una amplia gama de delitos, incluidos el tráfico de drogas y los grupos de ransomware. También debería haber sido detenido por MENTIR a la comunidad y por su conexión con el Kremlin. […] Telegram NO está cifrado. Todo tu historial de chat se almacena en los servidores de TG. PARA SIEMPRE.
El cuestionamiento de The Hacker’s Choice es, además, sobre el protocolo de encriptado de Telegram: “¿Por qué no son abiertos en cuanto a su encriptado? ¿Por qué no admiten peer-review? ¿Por qué no abren al menos parcialmente al escrutinio?”, se preguntaron. El problema de la publicación es que tiene el tono de la conspiranoia sobre Telegram como un órgano del servicio secreto ruso (FSB) cuando, por caso, del otro lado se dice que Signal es de la Central de Inteligencia de Estados Unidos (CIA).
Pero el análisis más técnico sobre el encriptado lo publicó el criptógrafo Matthew Green, que lo analizó en detalle en este post. Desgloso los tres puntos del argumento, vale la pena leerlo:
Muchos sistemas utilizan el cifrado de una forma u otra. Sin embargo, cuando hablamos de cifrado en el contexto de los modernos servicios de mensajería privada, la palabra suele tener un significado muy específico: se refiere al uso de cifrado de extremo a extremo por defecto para proteger el contenido de los mensajes de los usuarios. Cuando se utiliza de forma estándar en el sector, esta función garantiza que cada mensaje se cifrará utilizando claves de cifrado que sólo conocen las partes que se comunican, y no el proveedor de servicios.
¿Qué es, entonces, un mensaje “cifrado” para el usuario?
Desde tu punto de vista como usuario, un «mensajero cifrado» garantiza que cada vez que inicies una conversación, tus mensajes sólo podrán ser leídos por las personas con las que pretendes hablar. Si el operador de un servicio de mensajería intenta ver el contenido de tus mensajes, lo único que verá es basura cifrada inútil. Esa misma garantía es válida para cualquiera que pueda hackear los servidores del proveedor, y también, para bien o para mal, para las fuerzas de seguridad que entreguen una citación a los proveedores.
Precisamente, es la idea que Marlinspike arrojó en Black Hat USA hace unas semanas. Interrumpo lo de Green con el fundador de Signal porque viene al caso:
El objetivo de un proyecto de privacidad es hacer que el software se vea de la misma forma en la que funciona. Si tenés una aplicación de mensajería, ¿cómo opera? Tipeás un mensaje, lo enviás y ese mensaje lo ve la persona que lo recibe. El problema es que en el pasado esto no funcionaba así: muchas personas podían acceder a ese mensaje. Si la experiencia de usuario hubiese estado diseñada para representar que cada mensaje que vos enviabas iba a ser una suerte de chat grupal entre tu interlocutor, Mark Zuckerberg y todos los que trabajan en Facebook, eso hubiera sido una interfaz de usuario [UI] más honesta.
Entonces siguiendo con Green, ¿por qué no está encriptado Telegram? Porque por defecto, las conversaciones no están cifradas de punta a punta y no se pueden activar en grupos.
Telegram incumple claramente esta definición más estricta por una sencilla razón: no cifra las conversaciones de extremo a extremo por defecto. Si querés usar el cifrado de extremo a extremo en Telegram, debés activar manualmente una función opcional de cifrado de extremo a extremo llamada «Chats Secretos» para cada una de las conversaciones privadas que quieras mantener. La función no está activada explícitamente para la gran mayoría de las conversaciones, y solo está disponible para conversaciones uno a uno, y nunca para chats de grupo con más de dos personas en ellos. Como extra, activar el cifrado de extremo a extremo en Telegram es extrañamente difícil de hacer para los usuarios no expertos.
Todo el escrito de Green vale la pena.
VX Underground posteó un mensaje con una idea simple, pero que me quedó dando vueltas en la cabeza desde que se supo la noticia del arresto: “Hay una diferencia entre libertad de expresión y libertad de consecuencias”.
Ya por fuera de lo técnico y en el plano más político, el Wall Street Journal tuvo una exclusiva: los servicios de inteligencia franceses hackaron el teléfono de Durov y lo espiaron durante años. Según cuenta el medio, había preocupación por el grupo terrorista autodenominado Estado Islámico y el uso de Telegram para reclutar atacantes y planear atentados.
Para cerrar, el arresto disparó ataques DDoS de grupos hactvistas, en contra de lo que serían sitios aleatorios de Francia.
Durov fue puesto en libertad bajo una fianza de 5 millones de euro, pero no puede dejar Francia.
🌀 Volt Typhoon: el grupo asociado a China explota otro zero day
El grupo de hackers que representaría los intereses del Estado chino, Volt Typhoon, está explotando un zero day en Versa Director para subir un webshell personalizado que permite robar credenciales y acceder a redes corporativas, según publicó Black Lotus Labs.
Versa Director es una plataforma de gestión que los ISP y los MSP utilizan para manejar conexiones WAN virtuales creadas mediante servicios SD-WAN.
La vulnerabilidad está registrada como CVE-2024-39717 y se encuentra en una función que permite a los administradores subir iconos personalizados para personalizar la interfaz gráfica de usuario de Versa Director. La falla permite a un actor de amenazas con privilegios de administrador subir archivos Java maliciosos disfrazados como imágenes PNG, que luego pueden ser ejecutados de forma remota.
Investigadores de Black Lotus Labs de Lumen descubrieron el zero day en Versa el 17 de junio después de encontrar un binario Java malicioso llamado 'VersaTest.png' subido desde Singapur a VirusTotal.
Actualizar a la última versión, 22.1.4, parchea la vulnerabilidad.
🐞 Google arregla el décimo zero day de Chrome de 2024
Google parcheó el décimo zero-day explotado en Chrome en 2024, que logró ser identificado por su programa de bug bounties. Rastreado como CVE-2024-7965 y reportado por un investigador de seguridad conocido sólo como TheDog, la vulnerabilidad de alta gravedad ahora parcheada es causada por un error en el backend del compilador al seleccionar las instrucciones a generar para la compilación just-in-time (JIT).
Google describe la vulnerabilidad como una implementación inapropiada en el motor V8 de JavaScript de Google Chrome, que puede permitir a los atacantes remotos explotar la corrupción del heap a través de una página HTML manipulada.
Esto se anunció en una actualización de una publicación en el blog donde la empresa reveló la semana pasada que había corregido otro zero day de alta gravedad (CVE-2024-7971).
Google corrigió ambos zero-days en la versión 128.0.6613.84/.85 de Chrome para sistemas Windows/macOS y la versión 128.0.6613.84 para usuarios de Linux, que se han estado distribuyendo a todos los usuarios en el canal Stable Desktop desde el miércoles.
Además, la empresa subió hasta 250 mil dólares las recompensas en su programa de bug bounty. Desde que lanzó su Programa de Recompensas por Vulnerabilidades (VRP) en 2010, Google pagó más de 50 millones de dólares en bounties a investigadores de seguridad que informaron de más de 15.000 vulnerabilidades.
🔧 El derecho a reparar Cyberciruja: segundo encuentro federal, en Rosario
El movimiento cultural que plantea el derecho a reparar computadoras, teléfonos y otros equipos electrónicos, conocido en Argentina como Cybercirujas, realiza este fin de semana su Segundo Encuentro Federal. Será en la ciudad de Rosario, Santa Fe (Argentina), el sábado 31 de agosto, de 11 a 20 horas en el Centro de Expresiones Contemporáneas. La entrada es libre y gratuita.
Explicó a Dark News Emanuel Berdichevsky, arquitecto informático y parte del grupo:
Llamamos a combatir a la obsolescencia programada y a la extracción indiscriminada de nuestros datos privados, mediante la utilización de software libre, sistemas autogestivos y difusión de conocimiento gratuito. La mejor manera de rebelarse frente a lo que el sistema capitalista establece como el uso “normal” de la tecnología, es justamente conociendo cómo funcionan estos sistemas y apropiarnos de su uso. Así se llega a lo que llamamos un tecno empoderamiento, siendo dueños de estas herramientas.
Habrá una exposición de videojuegos independientes argentinos, una de las atracciones que más asistentes suele congregar en estos encuentros (o al menos eso sucedió en el CCK el año pasado y este 2024).
Otra de las novedades serán las “charlas relámpago”. Explicó Sergio Andrés Rondán, uno de los fundadores del movimiento:
Llegás, anotás tu charla y la das. En ese sentido, podemos igualmente confirmar una charla que es producto del primer ‘censo cyberciruja’ que realizamos. Junto con un compañero cyberciruja que es sociólogo y especializado en datos, armamos una encuesta y la circulamos en nuestra comunidad. Esos datos que recabamos están siendo analizados y los expondremos ese día, junto con un link a un repositorio de GitHub para descargar todos los datos. Finalmente durante todo el día habrá distintos shows y performances musicales.
Nicolás Wolovick, Doctor en Ciencias de la Computación por la Universidad Nacional de Córdoba y otro de los fundadores del movimiento, resumió de manera clara el sentido de estos encuentros y del movimiento de la comunidad cyberciruja:
Para mí, la comunidad es importante porque el mensaje tiene que trascender: tiene que permear en la sociedad. Siempre nos veo como un tercer sector que está empujando como la sociedad civil, porque en definitiva el Estado tiene que cambiar sus prácticas y regular la generación de tecnología, la obsolescencia programada, la no reparabilidad.
Como perlita, por supuesto, mostrarán cómo correr Doom en una terminal de pagos electrónica:
El evento esta vez se realiza en la ciudad de Rosario, el 31 de agosto, de 11 a 20 horas en el Centro de Expresiones Contemporáneas. No hace falta anotarse, simplemente con ir al predio, ubicado en Paseo de las Artes y el río Paraná, alcanza.
🔗 Más info
Fortra arregla un bug crítico en FileCatalyst Workflow
Ataque de ransomware contra el sistema ferroviario de Malasia
Notion banea a usuarios rusos
Criptoestafa con una fake cripto contra McDonald’s
Descubren una gran cantidad de sitios asociados a phising y estafas con las elecciones de EE.UU.
Detectan un nuevo malware, Angry Stealer
Play filtra información del fabricante de semiconductores Microchip Technology
Marcus Hutchins (WannaCry) encontró un bug RCE en Windows 10 y 11 vía IPv6
Check Point compró a la empresa de ciberseguridad Cyberint