En Telegram están pasando cosas muy raras: su justificación de por qué no usan cifrado de punto a punto es nefasta, y cada vez son más secretivos.

Telegram es una aplicación de mensajería bastante utilizada en la actualidad. Nació como una alternativa a WhatsApp, y ha conseguido cierta popularidad entre ciertos círculos. Está lejos de conseguir ser el rey de las aplicaciones de mensajería, pero tampoco se va a ir a ninguna parte.

Lo cierto es que Telegram se ha quedado atrás en lo que a seguridad se refiere. Pero el problema no es la seguridad: el problema es la postura que Telegram está manteniendo ante este problema. Están ignorando las solicitudes de los usuarios, y cada vez Telegram es un proyecto más secretivo.

Qué es el cifrado de punto a punto, y quién es quién

Antes de empezar, es importante describir qué es el cifrado de punto a punto. Este sistema, sin entrar en tecnicismos, hace posible que sólo nosotros, y la persona con la que estamos hablando, puedan leer los mensajes que nos estamos enviando. Si alguien intenta interceptar el mensaje, se encontrará con una maraña de números y letras. Incluyendo hackers, ladrones o agencias gubernamentales.

Podéis intuir lo importante que es este cifrado ante los descubrimientos recientes de gobiernos haciéndose con nuestros mensajes. Y siempre han existido las aplicaciones que se especializaban en enviar mensajes seguros, como Signal (recomendada por Edward Snowden). Pero uno de los pasos más grandes fue el anuncio de que WhatsApp fuera a cifrar nuestros mensajes por defecto, sin que tuviéramos que hacer nada.

Ese anuncio llegó después de docenas de noticias sobre la inseguridad de WhatsApp a lo largo de los años. Así que lo recibimos con los brazos abiertos, por fin WhatsApp sería seguro. El problema es que Telegram nació con la intención de difundir un sustituto de WhatsApp seguro. Y puede que esto haya forzado a WhatsApp a mejorar. Pero Telegram se ha quedado atrás en seguridad.

Telegram no tiene cifrado de punto a punto por defecto…

Telegram por defecto sólo cifra los mensajes mientras están en tránsito

Tal y como le llega al usuario, Telegram no es todo lo seguro que podría ser. Telegram por defecto sólo cifra los mensajes mientras están en tránsito. Es decir, lo único que está protegido es la conexión entre nosotros y el servidor. Ese servidor al que le estamos enviando los mensajes para que los reciba otra persona. Y, por supuesto, el servidor del que recibimos los mensajes.

En otras palabras, la conexión donde estamos diciéndole hola a un contacto está protegida, pero el mensaje como tal, ese hola, se envía en texto plano, sin ninguna protección. Y el problema está en que, si alguien compromete los servidores de Telegram, tendría acceso a todos los mensajes sin límites. Un problema que solucionaría cifrando el mensaje: implementando el cifrado de punto a punto.

Para tener una verdadera protección con Telegram, tenemos que usar los llamados chats secretos. Telegram afirma que todos sus chats son seguros, pero hace una distinción entre chats en la nube y chats privados. Estos chats privados, que hay que abrir a mano y que no tienen todas las funciones que tienen los chats en la nube, sí tienen cifrado de punto a punto. ¿Y cuántos contactos con Telegram conocéis que se molesten en seguir los pasos para activarlo?

…y sus excusas para no tenerlo son nefastas

Muchísimos usuarios y expertos llevan años pidiéndole a Telegram que implemente el cifrado de punto a punto en todas las conversaciones. Pero Telegram siempre se ha negado o ha hecho oídos sordos. Y la retahíla que han utilizado para defender su punto de vista es curiosa.

El primer argumento es digno de un niño de 5 años gritando «y tú más»: afirman que el cifrado de punto a punto de WhatsApp es un engaño. Según han declarado ingenieros de Telegram a Xataka, su enfoque sería «entregar copias de seguridad ya incorporadas y seguras, y no mentirle a los usuarios como lo hace WhatsApp».

En este caso, Telegram está usando las dudas que existen alrededor del cifrado de WhatsApp. En concreto, critican el sistema de copias de seguridad basadas en Google Drive. Según afirma el creador de Telegram, Pavel Durov, Google podría tener acceso a tus mensajes de WhatsApp a través de esa copia de seguridad. Y un gobierno sólo tendría que pedirle esa información a Google para leer tus mensajes.

Pero lo cierto, además de que esto se queda en un ataque teórico, es que Google no tiene acceso a tus mensajes de WhatsApp. La copia de seguridad en Google Drive de WhatsApp está cifrada, y Google necesitaría la clave para acceder en primer lugar. Algo que WhatsApp no le da en ningún momento, así que nuestros datos sí estarían a salvo de que Google metiera la mano en ellos.

El segundo argumento, y la versión oficial que utilizan en público, es que, para ciertas organizaciones y gobiernos, el simple hecho de usar cifrado de punto a punto nos convierte en sospechosos. Es cierto que incluso países occidentales, como Reino Unido o Estados Unidos, ven al cifrado como una amenaza. Es como aquello de que la NSA vigilaba con más atención a los usuarios de Tor, sólo por el hecho de estar usando Tor para asegurar su conexión.

Y esta es la peor excusa con diferencia. Es más, teniendo en cuenta que WhatsApp ha convertido esa clase de cifrado por defecto -y que nuestros teléfonos ya empiezan a tener cifrado activado por defecto-, lo mejor que podría hacer Telegram es dar un paso al frente y hacer lo mismo. Bajo ese argumento, cuantos más «sospechosos» estemos usando el cifrado de punto a punto, más complicado lo tendrán gobiernos y organizaciones para vigilarnos a todos. Si todos usamos cifrado, volvemos a estar como al principio.

Además, ese argumento se va a pique cuando las llamadas de Telegram están cifradas de punto a punto sin excepciones. Y además presumieron de ello cuando lanzaron la función de las llamadas. ¿Qué tienen las llamadas de especial que lo permitan cuando los mensajes no lo tienen por defecto? ¿Por qué las llamadas no nos hacen sospechosos y los mensajes sí?

¿Qué está pasando con Telegram?

Algo raro está pasando en Telegram

Y aquí es cuando se abre la especulación sobre los verdaderos motivos de Telegram para no hacerlo. Algunos creen que Telegram no tendría las herramientas para conseguirlo, a diferencia de rivales como Signal. Otros afirman que no saben cómo hacerlo. E incluso algunos piensan que todo esto sería orgullo. Sí, que Telegram no lo hace para no darle la razón a WhatsApp.

Lo que no puedes hacer es construir un servicio de mensajería seguro bajo la premisa de que el usuario por defecto no tiene nada que esconder. Esto es inaceptable en una aplicación que afirma poner importancia en la seguridad. Telegram surgió como una alternativa segura a WhatsApp. Hemos terminado con una WhatsApp mucho más segura, y con una Telegram tapándose los oídos y negándolo todo.

Y todo esto no es una defensa a WhatsApp. No hay más que ver sus movimientos desde la compra de Facebook para comprobar que WhatsApp tampoco está libre de sospecha. Aunque el protocolo de los creadores de Signal sea más seguro que Telegram, no faltan las sospechas de que WhatsApp puede tomar el control en cualquier momento. O el miedo a que exista una puerta oculta.

Lo que no puede ser es que usen estas sospechas para señalar a WhatsApp con el dedo, gritar «qué malos son» y no hacer nada con su plataforma. Más cuando Telegram tampoco está libre de sospechas. Por ejemplo, el código de la aplicación oficial para Android lleva meses sin ser actualizado. ¿Cuál es el motivo?

Al final, toda esta batalla se reduce a una verdad: lo más importante es conseguir que los usuarios estén a salvo. Las batallas por la reputación o el prestigio es lo último que debería importarnos como usuarios. Lo importante es que estemos protegidos ante cualquier clase de amenazas, tanto de gobiernos como de cualquier otra naturaleza.

Y poner excusas -o mentir- para no hacerlo no nos beneficia en nada. Lo único que consigue es dejarnos más inseguros. Y hace pensar que algo raro está pasando en Telegram.