[1]Telegram se enfrenta a un error de software curioso. Imagen de Kevin Rothrock.
Una usuaria rusa de Telegram se ha quejado de que recibía notificaciones extrañas de chats de Telegram de los que nunca ha formado parte. Entre otras cosas, estas notificaciones no solicitadas han permitido a esta usuaria seguir el chat interno del equipo de redes sociales del canal independiente ruso TV Rain. ¿Cómo y por qué ha pasado esto? ¿Y qué dice esto del supuesto sistema seguro de comunicación de Telegram?
Según [2] TJournal, la usuaria de Telegram Anna Gorbacheva le compró un iPhone usado a un conocido en noviembre de 2015. Aunque no lo enviaron a la fábrica para reiniciarlo, el anterior dueño se desconectó de todas sus redes sociales en el móvil y de iCloud. Al principio, el nuevo teléfono funcionaba perfectamente.
Pero un mes después empezaron a aparecer las notificaciones extrañas en su pantalla:
Izquierda: Una captura de pantalla del iPhone de Anna en cuya pantalla de bloqueo se ven las notificaciones del chat del grupo de administración de redes sociales de TV Rain. Derecha: Una captura de pantalla de su intento fallido de contestarles. Imagen a través de tjournal.ru.
Preocupada de que estuviera leyendo conversaciones privadas de otros sin querer le escribió a Telegram. Esto fue lo que le contó a TJournal:
В январе на заблокированном экране всплыло сообщение из какой-то беседы, в которой я не состою. Я удивилась и открыла Telegram. Чат не отображался, хотя уведомления продолжали поступать. Написала в поддержку, приложив скриншоты.
En enero, vi un mensaje en mi pantalla de bloqueo de una conversación en la que nunca había estado. Estaba sorprendida y me metí en Telegram. Las conversaciones no me aparecían, pero seguía recibiendo las notificaciones de los mensajes. Así que le escribí a soporte técnico y les envié algunas capturas de pantalla.
Pero el soporte técnico de Telegram no contestó, así que Anna simplemente desinstaló Telegram. Pero hace poco tuvo que instalarlo de nuevo porque lo necesitaba para su trabajo en una agencia de publicidad. Y las notificaciones volvieron a aparecer.
Como le había pasado antes, Anna podía ver las notificaciones de los mensajes pero no podía acceder a los chats. Sus intentos de enviar mensajes a estos fallaron. Y no parecía que ninguno de los que estaban en los chats supiera que otra persona podía leer sus conversaciones. A petición de TJournal, Anna grabó incluso un vídeo [3] para demostrar las notificaciones no solicitadas.
Las notificaciones más recientes procedían de un chat de Telegram llamado «SMM» («social media management«, es decir «administración de redes sociales»), y viendo algunos nombres (como Ilya Klishyn, Aleksey Abanin, y Daniil Zubov), Anna se dio cuenta de que ahora estaba en la discusión interna sobre redes sociales del equipo editorial de TV Rain. También se fijo que los enlaces de noticias tratadas en el chal aparecían rápidamente en las páginas de Twitter, Facebook y VKontakte del canal.
Cuando TJournal contactó con Pavel Durov, fundador de Telegram, él admitió que el problema era un error de software, pero tenía la teoría de que Anna había recibido el teléfono de un amigo que había trabajado para TV Rain y había tenido acceso al chat. Anna niega que su amigo tuviera cualquier conexión con TV Rain.
Ella declaró a TJournal que desde que compró el teléfono, no dejó que nadie accediera a él y que su cuenta de Telegram era la única que se había abierto en ese dispositivo.
¿Pueden los usuarios confiar en Telegram?
Telegram presume de comunicaciones seguras, sin embargo expertos en seguridad [4] han puesto en dudad la solidez de su criptografía. Aparte de «usar su propia criptografía» en vez de confiar en alguna de las soluciones de encriptación ya existentes, está el asunto de dependencia de dispositivos. Por defecto, Telegram utiliza autorización basada en texto, Lo que permite a los usuarios conectar nuevos dispositivos a cuentas de Telegram introduciendo simplemente un código de verificación recibido a través de un mensaje en un smartphone. Es posible realizar una verificación de dos pasos, pero no es obligatoria.
Pero estos elementos conocidos de los sistemas de Telegram no explican por completo por qué Gorbacheva, cuyo dispositivo aparentemente no ha pertenecido a nadie relacionado con TV Rain, de repente empezó a recibir notificaciones de sus mensajes privados. La experiencia de Gorbacheva sugiere que los fallos de seguridad de Telegram pueden ser peores de lo que los críticos habían pensado.
Anna no tiene ni idea de cómo o por qué puede leer los mensajes de un chat al que realmente no tiene acceso. Tras varios ruegos Anna consiguió una respuesta del servicio de soporte técnico de Telegram. Le dijeron que se saliera de todas las sesiones del servicio. Pero eso no sirvió de nada, y Anna sigue recibiendo extrañas notificaciones en su app.
Cuando TJournal investigó el asunto más profundamente, resultó que cambiar cuentas y acceder con otra después de que otro usuario hubiera cerrado la suya solía provocar fallos en Telegram: varios usuarios han declarado poder acceder a contactos y mensajes de aquellos que habían tenido la cuenta activa en ese dispositivo, cuando estos cerraron las suyas. A no ser que se borren estas nuevas cuentas de los dispositivos y de Telegram en general, perdiendo así sus datos de usuario, no hay ninguna forma de resolver este problema de privacidad.
El fundador Pavel Durov afirma que Telegram está borrando de la memoria caché los datos de los antiguos usuarios para enfrentarse de ahora en adelante a este problema, pero los usuarios a los que les pasó esto antes de que el error se hiciera oficial, están solos. Anna todavía recibe notificaciones sobre la rutina en las redes sociales de TV Rain, a pesar de haberse salido de todas sus sesiones activas en Telegram. Telegram dijo que lo mejor que podía haber hecho es que hubieran reiniciado el teléfono en la fábrica después de que el anterior dueño se hubiera salido de su cuenta.
¿Así que qué haces si tu Telegram empieza a arrojar notificaciones no solicitadas o mostrar contactos extraños? Según Durov la única solución infalible es desactivar tu cuenta abriendo este enlace [5] directamente en tu Telegram, que hará desaparecer todos tus chats y archivos.
Telegram dijo que el servicio de mensajería «no está hecho para ser utilizado en los dispositivos de otras personas», de ahí esa fusión de listas de contactos de las que se han quejado algunos usuarios. El servicio de soporte técnico aconsejó a uno de los usuarios que solo usara su cuenta en sus dispositivos, admitiendo básicamente la dependencia del servicio con el hardware. Pero los mensajes de conversaciones ajenas que ha denunciado Anna aún siguen siendo un misterio. Y la fama de mensajería segura de Telegram pende de un hilo.