Anexo:Sesiones de usuario de Telegram

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda

Las sesiones de usuario de Telegram son iniciadas exclusivamente vía número telefónico. Desde su creación, es necesario que el usuario confirme su número con un código de verificación vía SMS o llamada telefónica. A pesar de ello, existieron métodos para acceder de forma no autorizadas a las cuentas, relacionadas con las operadoras telefónicas.[1]

Contexto[editar]

Número telefónico[editar]

Al iniciar Telegram por primera vez, el servicio obliga a indicar el número telefónico para envíar un mensaje de confirmación. Captura de 2014.

A 2019 el requisito para crear una cuenta de Telegram es tener un número telefónico vinculado (tipo +XX XXXXXXXX, sea proveído por un servicio de telecomunicación GSM o VoIP).[2][3][4]​ El registro es gratuito independientemente de la instancia dónde usará en el dispositivo móvil o de escritorio.[5]​ En 2014 los números Telegram pueden migrarse a otro sin crear otra cuenta con la opción Cambiar número. La confirmación es vía mensaje de texto (SMS).[6]​ Por defecto, el número es visible solo para contactos y para ampliar o reducir la visibilidad es necesario establecer en los ajustes de la aplicación.[7]

El equipo de soporte de Telegram expresa que no es posible solicitar la sesión de usuario que no sea mediante código acceso, por lo que es necesario migrar a un número actualizado lo antes posible. Un comunicado destaca que:

Es importante mantener actualizado su número vinculado a Telegram, ya que su operador puede reasignar su número a otra persona cuando deje de usar su tarjeta SIM anterior. Y en el sistema actual, el propietario del número también es el propietario de la cuenta de Telegram.
Soporte de voluntarios de Telegram[8]

Nombre de usuario[editar]

Según la documentación de la API de MTProto. Además del número, requiere de los parámetros de nombre y código id para identificar el contacto.[9]

Código de acceso[editar]

Antes de crear una cuenta, uno de los proveedores de Telegram enviará un código de confirmación en un mensaje de texto (o llamada en caso que los usuario lleven la verificación en dos pasos activada).[3][10]​ Cuando la cuenta está creada, los clientes de Telegram recibirán los códigos de confirmación,[3]​ con la opción de volver a enviar via SMS.[11]​ El código lleva 5 dígitos numéricos.[11]​ El código es comprobado mediante función hash.[9]

Por seguridad, no es posible recibir demasiados códigos en un día (cuyo mensaje de error es "Too many attempts", traducido como "Demasiados intentos").[3]​ Tampoco es posible crear con el número cuando la cuenta de este fue destruida varias veces o bloqueada (con el mensaje de error "su número fue bloqueado").[3]​ De acuerdo a las preguntas frecuentes, Telegram creó en 2015 una cuenta de Twitter (@smstelegram) dedicada a comunicar inconvenientes con los inicios de sesión.[12]

Una investigación de 2014 por INTECO reveló como asigna la huella digital antes de conceder el código de acceso. Primero establece el código nonce, generado al azar, después añade otros códigos de envio y respuesta del servidor y formar una clave SHA para la huella de sesión. Cabe señalar que el sistema corresponde a la primera versión de MTProto, el protocolo de comunicación usado en Telegram.[13]

Sesiones activas[editar]

Sesiones activas. Cada sesión lleva una IP y el tipo de cliente.

En abril de 2015 se implementó el apartado "Sesiones activas" ("Active sessions"), disponible en los ajustes (versión 2.7 para los clientes móviles).[14]​ Consiste en un panel que visualiza los dispositivos que inició sesión en clientes oficiales y de terceros.[14]​ Primero se muestra el cliente actual con el botón "Cerrar desde otras cuentas" y debajo una lista de clientes activos.[15]​ Como medida de seguridad, Telegram notifica a los usuarios si hubo intentos de acceso con la contraseña incorrecta, incluyendo los detalles y la dirección IP del intento no autorizado.[16]

Autenticación en dos pasos[editar]

Verificación en dos pasos en el cliente web.

La autenticación en dos pasos (también llamado como "verificación en dos pasos" o "2FA") se implementó en 2015 para todos los clientes. Está disponible desde la sección "Seguridad y privacidad" en los ajustes de la versión 2.7 de los clientes oficiales para móviles. Más adelante se expandió en el cliente web y Desktop.[17][18]

Este mecanismo añade una contraseña secundaria y alfanumérica por cada sesión abierta. Se muestra después de confirmar el código de acceso. Opcionalmente, el usuario puede cambiar la contraseña vía correo electrónico.

Adicionalmente, añade el derecho de que el creador del grupo o canal transfiera sus privilegios al administrador. Por seguridad es necesario que el administrador posea todos los permisos para la transferencia y ambos usuarios tengan la verificación activada una semana antes.[19]

La necesidad de la verificación en dos pasos nace de las evidentes vulnerabilidades relacionadas con las operadoras de telefonía móvil para enviar código de verificación, como el secuestro de la casilla de voz (para llamadas) y la intrusión en el protocolo SS7 (para mensajes).[1][20][21]​ La cual, al obtener el código de acceso podrían facilitar la filtración de las conversaciones sincronizadas en la nube.[1][20][22]​ Sobre las llamadas el equipo de Telegram reconoció en julio de 2019 que el envío de código por esta vía es exclusiva para los usuarios que llevan la verificación doble activa.[23]

Inicio de sesión vía web[editar]

En febrero de 2018, Telegram incorporó una opción para iniciar sesión a páginas web de terceros. A esta característica se le conoce como "Social Login" y necesita confirmar con el número telefónico.[24]​ El mensaje de verificación es enviado únicamente por el servicio de notificaciones de Telegram, dentro de la aplicación.[24][25]​ Al igual que "Sesiones activas", las páginas web que inició sesión, junto a la IP, el navegador y el bot usado para dicha página, se gestionan en el apartado de los ajustes.[25]

Inconvenientes[editar]

Problemas de inicio de sesión[editar]

En Brasil de 2016 la alta demanda de usuarios en ese país ralentizó el tiempo en enviar códigos hacia determinados usuarios.[26]​ En junio de 2019 las teleoperadoras de Irán consiguieron bloquear el envío de códigos a los nuevos usuarios.[27]

Desde 2018, debido al bloqueo del servicio de mensajería en Rusia, se implementó el servicio MTProto Proxy sin anunciarlo de forma oficial a la prensa.[28]​ Este servicio permite conectar los clientes a servidores proxy e iniciar sesión desde otra IP. A cambio, se mostraría un canal patrocinador por parte del creador del proxy.[29]​ Para usar los servidores exclusivos es necesario añadirlos y activarlos desde los ajustes proxy de los clientes móviles y de escritorio (versión 1.3).[28][30]

Intentos de sustracción de código de verificación conocidos[editar]

Existen casos reales difundidos por medios de comunicación que ciberdelincuentes consiguieron acceder el código de verificación en países con mayor acogida de usuarios:

Fecha País Notas del acceso
Abril de 2016 Rusia The Financial Times reportó que los activistas de la oposición rusa Oleg Kozlovsky and Georgy Alburov habrían accedido sus cuentas al conseguir el código de verificación.[31]​ Dúrov confirmó del suceso y acusó al gobierno ruso por interferir a la operadora MTS los códigos de verificación sin necesidad de una orden judicial.[31][32]​ Mientras tanto, MTS consiguió desactivar los números de los dueños.[33]
Agosto de 2016 Irán En en una entrevista para The Guardian el investigador de seguridad para la Campaign for Human Rights in Iran, Amir Rashidi, alertó de un caso de sustracción de cuentas de activistas de derechos humanos.[34][35]Reuters indica que el grupo Rocket Kitten es el responsable del acceso.[36]
Mayo de 2019 Rusia Piratas de origen español intentaron acceder a los usuarios de Rusia con una la tarjeta SIM clonada. El ataque fracasó debido a que los activistas reportaron que activaron la verificación en dos pasos a tiempo.[37]
Junio de 2019 Brasil The Intercept accedió los mensajes de una autoridad judicial del país con sin la característica 2FA activada. La filtracción fue proporcionada por expertos en el secuestro de la casilla de voz.[38][39]​ Más adelante, la policía detuvo a los responsables por acceder a más de 1000 usuarios empleando el mismo método.[22]
Diciembre de 2019 Rusia Según el laboratorio forense de la empresa Group-IB se desarrollaron oficios relacionados a interceptar el código de las operadoras móviles. Esto simplifica el acceso a cuentas son 2FA sin recurrir a otros métodos externos. La propia empresa sugiere que desactive la restauración de cuenta vía correo electrónico, ya que también las casillas de correo también pueden interceptarse.[40][41]

Intentos de hijacking conocidos[editar]

Fecha País Notas del hijacking
Inicios de 2018 Rusia En abril de 2018 los investigadores de Cisco Talos, Vítor Ventura y Azim Khodjibaev, encontraron evidencias del malware Telegrab. Este programa, que se expande al público ruso, intenta suplantar mediante hijacking las cuentas en la versión de escritorio de Telegram, siendo a Steam como cómplice indirecto.[42]
Noviembre de 2018 Irán Aunque se realizaron planes de 2017, especialistas de Cisco Talos encontraron la modalidad de romper la seguridad del Border Gateway Protocol de las ISP para acceder a páginas de inicio falsas o instalar aplicaciones con malware.[43][44]​ Charming Kitten es uno de los grupos detrás de dicha modalidad.[45]

Véase también[editar]

Referencias[editar]

  1. a b c Cimpanu, Catalin. «Telegram voicemail hack used against Brazil's president, ministers». ZDNet (en inglés). Consultado el 27 de julio de 2019. 
  2. «Telegram удалил 78 публичных каналов об «Исламском государстве» по требованию Apple» (en ruso). TJournal. Consultado el 10 de enero de 2016. 
  3. a b c d e Help, Telegram Login (12 de marzo de 2018). «Common Login Problems». Telegraph. Consultado el 24 de junio de 2019. 
  4. Miguel Lopez. «Configurando Telegram en el iPhone, en la web y en el Mac». Applesfera. Consultado el 4 de diciembre de 2014. 
  5. Desktop, Telegram (20 de julio de 2017). «It is possible. You can enter your phone number, and when it tells you that it is not registered, click on the "here" link at the top.». @telegramdesktop (en inglés). Consultado el 13 de agosto de 2019. 
  6. «Secure Messaging App Telegram Adds Usernames And Snapchat-Like Hold-To-View For Media». Techcrunch. Consultado el 23 de octubre de 2014. 
  7. «Telegram 5.7: большое обновление мессенджера». Код Дурова (en ruso). 1 de junio de 2019. Consultado el 1 de junio de 2019. 
  8. «Onliner: белоруска установила новую «симку», а та ей выдала всю переписку чужого Telegram». Код Дурова (en ruso). 30 de abril de 2019. Consultado el 30 de abril de 2019. 
  9. a b «auth.signUp». core.telegram.org. Consultado el 10 de agosto de 2019. 
  10. Messenger, Telegram (30 de julio de 2019). «Currently, you can only request a login code via phone call if you also have 2-step verification enabled for the account, protecting it with an additional password. The voicemail trick won't work.». @telegram (en inglés). Consultado el 30 de julio de 2019. 
  11. a b «Negligence by Major Tech Companies like Google and Telegram Aiding Iran's Cyber Army». Center for Human Rights in Iran. 3 de junio de 2016. Consultado el 9 de agosto de 2019. 
  12. «Telegram F.A.Q.: Telegram Login Help». Telegram. Consultado el 24 de junio de 2019. 
  13. «Telegram: Sorteando el protocolo de autenticación». INCIBE-CERT. 28 de abril de 2014. Consultado el 9 de agosto de 2019. 
  14. a b «Telegram 2.7 Adds Session Management, 2-Step Verification, And Link Previews». Android Police (en inglés estadounidense). 9 de abril de 2015. Consultado el 9 de agosto de 2019. 
  15. «Telegram se actualiza con vista previa de enlaces y verificación de dos pasos». Wayerless. Consultado el 9 de abril de 2015. 
  16. «Оппозиционные активисты пожаловались на удалённый взлом аккаунтов в Telegram». TJ. Consultado el 29 de abril de 2014. 
  17. «Telegram se actualiza con vista previa de enlaces y verificación de dos pasos». Wayerless. Consultado el 9 de abril de 2015. 
  18. David G. Mateo. «Telegram mejora su seguridad con la verificación en dos pasos». Tu Experto. Consultado el 13 de diciembre de 2015. 
  19. «Añade contactos en Telegram sin su número, grupos geolocalizados y más». El Androide Libre. 23 de junio de 2019. Consultado el 24 de junio de 2019. 
  20. a b ««Проще вообще мессенджеры запретить»». lenta.ru. Consultado el 29 de julio de 2019. 
  21. «Hackers target Telegram accounts through voicemail backdoor». Naked Security (en inglés). 30 de julio de 2019. Consultado el 30 de julio de 2019. 
  22. a b Colomé, Jordi Pérez (28 de julio de 2019). «Podemos se fía más de Telegram, pero un escándalo en Brasil prueba que se equivoca». El País. ISSN 1134-6582. Consultado el 28 de julio de 2019. 
  23. Messenger, Telegram (30 de julio de 2019). «Currently, you can only request a login code via phone call if you also have 2-step verification enabled for the account, protecting it with an additional password. The voicemail trick won't work.». @telegram (en inglés). Consultado el 30 de julio de 2019. 
  24. a b «Telegram 4.8 arrives with Telegram Login and streaming». Neowin (en inglés). Consultado el 26 de marzo de 2018. 
  25. a b «Como fazer login em sites com a conta do Telegram». TechTudo (en portugués de Brasil). Consultado el 9 de agosto de 2019. 
  26. «Más de un millón de usuarios de Brasil se unen a Telegram tras bloqueo de WhatsApp». La Tercera. 2 de mayo de 2016. Consultado el 6 de mayo de 2016. 
  27. «Иранское правительство заблокировало авторизацию в Telegram через SMS и звонок». Код Дурова (en ruso). 23 de junio de 2019. Consultado el 24 de junio de 2019. 
  28. a b «Telegram lanza MTProto Proxy». Tecnonucleous. 30 de mayo de 2018. Consultado el 20 de junio de 2018. 
  29. «Новый MTProto-прокси сервер от Telegram» (en ru-RU). Consultado el 21 de junio de 2018. 
  30. «telegramdesktop/tdesktop». GitHub (en inglés). Consultado el 21 de junio de 2018. 
  31. a b UK, James Cook, Business Insider. «Activists are claiming that their accounts on messaging app Telegram were hacked». Business Insider. Consultado el 4 de agosto de 2019. 
  32. «Did Russian secret agents hack Telegram accounts of two rights activists?». International Business Times UK (en inglés). 6 de mayo de 2016. Consultado el 9 de agosto de 2019. 
  33. «Оппозиционерам отключили SMS-сервис во время взлома их Telegram». meduza.io. Consultado el 9 de agosto de 2019. 
  34. Reuters (2 de agosto de 2016). «Hackers accessed Telegram messaging accounts in Iran, say researchers». The Guardian (en inglés británico). ISSN 0261-3077. Consultado el 4 de agosto de 2019. 
  35. says, Anonymous (3 de agosto de 2016). «Telegram app’s SMS activation used to expose activists and journalists». Naked Security (en inglés). Consultado el 9 de agosto de 2019. 
  36. «Exclusive: Hackers accessed Telegram messaging accounts in Iran -...». Reuters (en inglés). 2 de agosto de 2016. Consultado el 9 de agosto de 2019. 
  37. «Ряд журналистов сообщили о попытке взлома их Telegram-аккаунтов». Код Дурова (en ruso). 25 de mayo de 2019. Consultado el 26 de mayo de 2019. 
  38. Gragnani, Juliana (10 de junio de 2019). «Como as mensagens de Telegram de membros da Lava Jato podem ter vazado» (en portugués de Brasil). Consultado el 11 de junio de 2019. 
  39. Martins, Rafael Moro (9 de junio de 2019). «‘Não é muito tempo sem operação?’: Exclusivo: chats privados revelam colaboração proibida de Sergio Moro com Deltan Dallagnol na Lava Jato». The Intercept (en inglés estadounidense). Consultado el 11 de junio de 2019. 
  40. «'Hackers' lograron acceder a mensajes de usuarios de Telegram: ¿cómo protegerse?». RT en Español. Consultado el 5 de diciembre de 2019. 
  41. «Group-IB: игнорирование двухфакторной аутентификации привело к перехвату переписки в Telegram». www.group-ib.ru. Consultado el 5 de diciembre de 2019. 
  42. Osborne, Charlie. «Telegrab malware hijacks Telegram desktop sessions». ZDNet (en inglés). Consultado el 9 de agosto de 2019. 
  43. «Telegram traffic from around the world took a detour through Iran». CyberScoop (en inglés). 30 de julio de 2018. Consultado el 9 de agosto de 2019. 
  44. Osborne, Charlie. «BGP attacks hijack Telegram traffic in Iran». ZDNet (en inglés). Consultado el 9 de agosto de 2019. 
  45. Ventura, Vitor. «Persian Stalker pillages Iranian users of Instagram and Telegram». Consultado el 9 de agosto de 2019.