Miedo, incertidumbre y duda. Eso es lo que una vez más ha querido generar Pavel Durov, creador y CEO de Telegram, tras los problemas de seguridad de su máximo rival, WhatsApp, del que dijo que "nunca será seguro".
Tiene bemoles la cosa, dirían muchos (y me incluyo), porque cualquier experto en ciberseguridad os dirá que ningún producto o servicio es 100% seguro. Y por supuesto, nunca lo será. WhatsApp no se libra de esos problemas, y aunque el cifrado de las conversaciones fue una medida importante para proteger nuestra privacidad, la seguridad del sistema no es perfecta. Como la de Telegram o cualquier otra alternativa, ojo.
Una vulnerabilidad preocupante
El último gran problema de seguridad de WhatsApp se descubrió el pasado 14 de mayo. La vulnerabilidad permitía instalar spyware sin dejar rastro con tan solo aprovecharse de una llamada VoIP realizada a través del servicio.
Como explicábamos entonces, el software espía que se instalaba habría sido desarrollado por el grupo israelí NSO Group, muy conocido en este ámbito y que aprovechó una vulnerabilidad desconocida de las llamadas de WhatsApp. Ni siquiera había qu econtestar a esas llamadas, y los registros de dichas llamadas podían ser eliminados para que el usuario nunca se diese cuenta del problema y de que estaba siendo vigilado.
Muchas eran las versiones de WhatsApp afectadas por el problema, que ha sido ya parcheada. Para no estar expuesto a esta vulnerabilidad es necesario actualizar a la última versión disponible de la aplicación, algo que una vez más demuestra lo importante que es mantener las aplicaciones y servicios que usamos en todos nuestros dispositivos a la última.
Privacidad no es seguridad
La potencial crítica que se le puede (y debe) hacer a WhatsApp por este descuido es distinta a la que se ha hecho en el pasado a Facebook a a la propia WhatsApp por su gestión de la privacidad, y es importante tener claro que ambas cosas son distintas.
Pavel Durov, fundador y CEO de Telegram
De hecho hace tres años que WhatsApp implementó por fin el esperado cifrado extremo a extremo que protegía nuestras comunicaciones de posibles espías que quisieran interceptarlas, una característica que otros sistemas y plataformas ya habían integrado.
Telegram lo implementaba pero solo en los chats secretos: los chats normales seguían estando cifrados, pero no de extremo a extremo. Las diferencias entre los sistemas son más importantes si nos fijamos en el protocolo de cifrado: WhatsApp aprovechó el célebre y reputado protocolo de Signal, mientras que Telegram desarrolló el suyo propio, MTProto.
Un secreto: Telegram tampoco será nunca segura
La rivalidad entre WhatsApp y Telegram ha sido siempre muy fuerte, y ya hablábamos de las diferencias entre una y otra aplicación para tratar de aclarar qué ofrece cada una.
En esencia el usuario final va a contar con una poderosa solución de comunicación tanto persona a persona como entre grupos, y aunque hay algunas características diferenciales en una y otra (en Telegram por ejemplo los chats efímeros, en WhatsApp llama la atención el requisito de depender de un número de teléfono), sus funciones y orientación son básicamente las mismas.
En materia de privacidad y seguridad ciertamente hay opciones de Telegram realmente llamativas, como proteger los chats con contraseña y PIN (compatible con huellas). Nuestros compañeros de Xataka Android ya realizaron un exhaustivo análisis de esas opciones recientemente con esta tabla:
| | Telegram | |
|---|---|---|
| Cifrado de extremo a extremo | Sí | Sí, solo en chats secretos |
| Protección de chats | Aún no | Sí, por contraseña y por PIN (compatible con huellas) |
| Verificación en dos pasos | Sí | Sí |
| Protección contra capturas de pantalla | No | Sí, opcional |
| Mensajes autodestruíbles | No | Sí, en chats secretos |
| Teclado en modo incógnito | No | Sí, en chats secretos |
| Borrado de mensajes | Sí, hasta 1 hora después | Sí, en cualquier momento y también los mensajes recibidos |
| Cuenta enlazada a número de teléfono | Sí | Sí, pero no es obligatorio |
La balanza se decanta desde luego a favor de Telegram en varias opciones, y por ejemplo ese requisito de enlazar WhatsApp a un número de teléfono plantea una limitación importante para el anonimato y la privacidad en este servicio.
Pero es que privacidad, como decíamos, no es seguridad. Que en una aplicación no se hayan descubierto problemas de seguridad no significa que no los tenga. Puede que estén latentes o incluso que esos problemas de seguridad y vulnerabilidades ya estén siendo aprovechadas para todo tipo de fines -probablemente delictivos- sin que nos enteremos.
La seguridad total no existe: ni para WhatsApp, ni para Telegram, ni para nadie
Bruce Schneier, uno de los gurús del segmento de seguridad, ha trabajado en este campo durante décadas, pero las asunciones y los principios básicos no cambian. Lo decía hace casi 20 años:
Ningún producto de seguridad informática es perfecto. Cada día se descubren nuevas vulnerabilidades de seguridad en sistemas operativos, software de servidor, aplicaciones de Internet, cortafuegos y otros dispositivos de seguridad. Estos productos no muestran signos de ser más seguros; en todo caso, la creciente complejidad de Internet los está llevando a ser aún menos seguros. Necesitas detección y respuesta.
Así pues, las acusaciones de Pavel Durov en su singular texto tienen mucho de mensaje publicitario y poca consistencia. Habla de puertas traseras, de que "a los dictadores les gusta WhatsApp" y de cómo Telegram es Open Source cuando esa afirmación tiene letra pequeña.
De hecho las críticas a esa presunción de Durov que una y otra vez presume de que Telegram es Open Source son numerosas. Ed Baev, el COO de Yalantis, explicaba cómo funciona la API de Telegram y cómo el código fuente de Telegram, aunque disponible, no puede ser reutilizado. La propia Telegram explica cómo "no todo es Open Source" en su FAQ.
Eso hace difícilmente creíble la crítica de Durov, que tira la piedra y esconde la mano: lanza acusaciones sin proporcionar demostraciones claras de que esas acusaciones son ciertas, y mezcla constantemente problemas de seguridad o de privacidad. El CEO de Telegram afirma que "en casi 6 años de su existencia, Telegram no tuvo ninguna fuga de datos importante o fallo de seguridad del tipo que WhatsApp demuestra cada pocos meses", pero esa afirmación también es cuestionable.
De hecho Telegram también ha estado expuesta a vulnerabilidades. Kaspersky hablaba de imágenes maliciosas en el servicio a principios de 2018. Más tarde aparecían conflictos de seguridad que sí afectaban a la privacidad de sus usuarios desvelando sus direcciones IP, y el verano pasado también se descubrió cómo otra vulnerabilidad zero-day permitía a un ciberatacante ejecutar programas de minería de criptodivisas en nuestros dispositivos vía Telegram.
Telegram is _never_ the solution. Friends don't let friends use Telegram. This'll be a thread! https://t.co/ogHmNZkOg4
— Evan Sultanik (@ESultanik) 16 de mayo de 2019
Recientemente se descubría cómo Telegram estaba siendo usada como infraestructura para la gestión y control de malware por problemas en la Bot API, y bases de datos de seguridad como CVE registran algunos casos más que demuestran que la seguridad en esta plataforma no es perfecta.
Puede que en WhatsApp se hayan descubierto más vulnerabilidades -algo hasta cierto punto normal teniendo en cuenta que es un objetivo más jugoso para los cibercriminales- y que no sea perfecto en materia de seguridad, pero Telegram tampoco lo es. Y como ellas dos, todo el resto. Para creernos el mensaje de Durov necesitamos algo más que un texto dirigido a crear miedo, incertidumbre y dudas. Necesitamos pruebas.
Ver 59 comentarios
59 comentarios
rapsolo
He leído el artículo dos veces y sigo sin entender su razón de ser.
kika2
Para mí telegram va siempre un paso por delante de WhatsApp, aunque tenga menos presupuesto. Y para crear una comunidad veo mejor telegram por el anonimato que ofrece. Un saludo
royalsnake
Al final, la única ventaja que posee Whatsapp sobre Telegram, es que tiene más usuarios. Y ya.
xoxegarcia
Aunque Facebook quiera vender la moto a alguien, comparar Whatsapp con Telegram en términos de privacidad, seguridad y sobre todo, respeto a sus usuarios es realmente vergonzoso aunque esto realmente es extensible a todos los "productos" de Facebook.
Cufloc
Con la de escandalos de seguridad que ha tenido Facebook (y sus subsidiarias) ver a cualquiera defendiendo a Wpp, Insta o FB en materia de seguridad me da entre rabia, hartazgo y pereza.
En fin.
elsindicalista
Whatsapp es cosa del pleistoceno ya. Telegram es el futuro.
Usuario desactivado
Volvamos a vivir como antes y dejen en paz de esas cosas. Vivid en el presente, disfrutad con todos, quien sabe si mañana vivirás o no. Deja el smartphone, y disfruta la vida.
kwx
Hola a todos.
Esto se responde de una manera muy sencilla.
Primero, la palabra "nunca" está demás en el titular y en el cuerpo de este artículo. No hay que ser absolutistas, mucho menos en el mundo del software, que es perfectible. Y segundo, por favor, remontémonos a los hechos: hasta el día de la fecha, ¿cuál de estos 2 servicios de mensajería instantánea resulto ser más seguro y estar más a favor de la privacidad de sus usuarios? Pues, yo no recuerdo que a Telegram se le haya encontrado pruebas de ser inseguro y de no respetar la privacidad. No sé si es 100% seguro y 100% amante de la privacidad; lo único que sé es que, en estos 2 aspectos, Telegram no ha defraudado a nadie hasta este preciso momento, mientras que WhatsApp es un colador.
De nuevo, a los hechos me remito.
¡Saludos a todos!
r a g n o r
Cuando quieres un ordenador que sea seguro, lo desconectas de internet.
Cualquier cosa que esté expuesta a internet será vulnerable por ese mismo hecho.
De igual modo que no es posible hacer una puerta de seguridad impenetrable.
dsa10
Tranquilos todos, a quienes tienen puertas traseras en Whatsapp o Telegram no les interesan los gifs de tetas que ponéis en los grupos del trabajo. Muy al contrario, los usarán muy controladamente contra objetivos muy específicos para evitar el riesgo de que se descubra.
diegueras21
Yo pienso que la seguridad de telegram es sobre todo con respecto de un usuario a otro como se puede ver en las funcionalidades de chats autodestructictivos,anti-captura de pantalla, etc.Por que en manejor a servidores deben ser igua no debemos olvidar que telegram es una empresa rusa y que en el pasado el gobierno ruso ejercio presion sobre esta empresa con respecto a sus datos.
Juan
La única comunicación 100% segura (100%, no 99,99% segura) es la que no llega a producirse.
josemanuelbastidaexposito
Dos aplicaciones gratuitas y que no ponen publicidad, y que gastan ingente cantidades de dinero en mantener la infraestructura.
De algún sitio tiene que sacar los ingreso no???
lmef2019
A mí me encantaría usar telegram pero no conozco a nadie que lo use.
gercsz
No entiendo a que quiere llegar, es obvio que no existe sistema perfecto, todo es corrompible, nada se salva. Si querías desprestigiar a Telegram, lograste todo lo contrario, más motivos tengo ahora para dejar WhatsApp a un lado, como lo vengo haciendo de a poco. 🤔
agnusdenisepaula
Por qué será que Rusia, China e Irán tienen bloqueado Telegram?
edicksongonzalez
Os vamos a contar un secreto por mas NO que haya tenido Whatsapp en este Articulo y por mas SI que haya tenido Telegram, para XATACA hablar de Whatsapp es la gloria, me pegunto cuanto es la comisión por publicidad.. ¿?
privacymatters
Muy poco trabajado el artículo y con dudosas intenciones... No voy a repetir lo que yay han dicho otros en sus comentarios respecto a la supremacia del enfoque en la privacidad de telegram. Sin embargo en tu tabla comparativa dices que no está enlazado a un número telefonico, este argumento es falso, pues si revisas el proyecto open source verás que no puedes crear una cuenta de telegram sin un número telefónico, de hecho incluso habiendola creado, si luego pierdes tu número pierdes entonces el acceso a tu cuenta, por lo que básicamente el ID de la cuenta de telegram o la clave primaria que garantiza que un usuario es único es justamente ese número de teléfono. A investigar un poco más antes de postear.
PipeX
Para todo lo demás existe signal
antonnycooper
Y vuelvo a lo mismo, todos quieren seguridad pero seguridad de que? para que no los vean entrando a x videos? para que no los vean enviado fotos del ganzo?? jajaja eso me da igual a menos que yo tenga millones en un banco y corra peligro de que me dejen sin un solo centavo, solo así exigiría seguridad que jamas nadie en la red te va a dar