Durante el fin de semana, un clip de una entrevista reciente con el fundador de Telegram, Pavel Durov, se volvió semiviral en X (anteriormente Twitter). En el videoDurov le dice al personaje de derecha Tucker Carlson que él es el único gerente de producto de la empresa y que sólo emplea a “unos 30 ingenieros”.
Los expertos en seguridad dicen que, si bien Durov se jactaba de que su empresa con sede en Dubai era “súper eficiente”, lo que dijo fue en realidad una señal de alerta para los usuarios.
“¿Sin cifrado de extremo a extremo, una gran cantidad de objetivos vulnerables y servidores ubicados en los Emiratos Árabes Unidos? Parece que eso sería una pesadilla de seguridad”, dijo a TechCrunch Matthew Green, experto en criptografía de la Universidad Johns Hopkins.
Green se refería al hecho de que, de forma predeterminada, los chats en Telegram no están cifrados de extremo a extremo como lo están en Signal o WhatsApp. Un usuario de Telegram debe iniciar un “chat secreto” para activar el cifrado de extremo a extremo, lo que hace que los mensajes sean ilegibles para Telegram o para cualquier otra persona que no sea el destinatario previsto. Además, a lo largo de los años, muchas personas han puesto en duda la calidad del cifrado de Telegram, dado que la empresa utiliza su propio algoritmo de cifrado patentado, creado por el hermano de Durov, como dijo en una versión ampliada de la entrevista con Carlson.
Eva Galperin, directora de ciberseguridad de Electronic Frontier Foundation y experta desde hace mucho tiempo en la seguridad de usuarios en riesgo, dijo que es importante recordar que Telegram, a diferencia de Signal, es mucho más que una simple aplicación de mensajería.
“Lo que hace a Telegram diferente (¡y mucho peor!) es que Telegram no es sólo una aplicación de mensajería, sino también una plataforma de redes sociales. Como plataforma de redes sociales, cuenta con una enorme cantidad de datos de usuario. De hecho, se basa en el contenido de todas las comunicaciones que no son mensajes uno a uno que han sido específicamente [end-to-end] cifrado”, dijo Galperin a TechCrunch. “‘Treinta ingenieros’ significa que no hay nadie para luchar contra las solicitudes legales, no hay infraestructura para lidiar con problemas de abuso y moderación de contenido”.
“E incluso diría que la calidad de esos 30 ingenieros no es tan buena”, continuó Galperin. “Además, si fuera un actor de amenazas, definitivamente consideraría que esto es una noticia alentadora. Todo atacante ama a un oponente con exceso de trabajo y falta de personal”.
En otras palabras, es poco probable que Telegram sea muy eficaz en la lucha contra los piratas informáticos, especialmente los respaldados por el gobierno, con un personal tan reducido.
Telegram no respondió a una solicitud de comentarios, que incluía preguntas sobre si la empresa tiene un director de seguridad y cuántos de sus ingenieros trabajan a tiempo completo para proteger la plataforma.
La semana pasada, el conocido experto en ciberseguridad SwiftOnSecurity escribió en X que “el costo de administrar una empresa que tiene todas las herramientas y el personal de seguridad cibernética adecuados es absolutamente obsceno”.
“Es difícil describir las cifras que he visto. Incluso decir esto es un área gris. Pero es [an] plantilla y gasto increíbles”, escribió SwiftOnSecurity.
En definitiva, incluso las empresas más grandes del planeta probablemente no inviertan suficiente dinero, tiempo y energía en protegerse. Telegram tiene casi mil millones de usuarios, según Durov. Es una de las plataformas más populares para personas que trabajan en criptomonedas (que mueven millones de dólares), extremistas, piratas informáticos y traficantes de desinformación.
Eso lo convierte en un objetivo increíblemente interesante para los piratas informáticos tanto criminales como gubernamentales. Y tiene, como mucho, sólo un puñado de personas dedicadas a la ciberseguridad.
Durante años, seguridad expertos tener prevenido que la gente no debería ver Telegram como una aplicación de mensajería verdaderamente segura. Teniendo en cuenta lo que dijo Durov recientemente, puede ser incluso peor de lo que pensaban los expertos.