A diferencia de WhatsApp, nadie puede apoderarse de tu cuenta de Telegram enviando simplemente una foto

Una compañía llamada Check Point ha descubierto una forma de tomar el control de una cuenta de WhatsApp con el simple hecho de que el usuario objetivo abra una foto que le hayas enviado. No hay más acciones necesarias por parte de la víctima. Algunos medios reportaron, irresponsablemente, que “la misma” vulnerabilidad fue descubierta en Telegram.

Esto no es verdad, Telegram nunca tuvo este problema.

¿Qué tenían ustedes?

La semana pasada, Check Point señaló un problema diferente en Telegram Web, que estaba basado en la misma idea, pero tenía implicancias muy diferentes para el usuario final. Para esta tarea, tenías que convencer al usuario objetivo para hacer exactamente lo siguiente:

1. Seleccionar “Reproducir” para comenzar a ver el video malicioso a través de Telegram Web en Chrome. (A este punto, una cuenta de WhatsApp ya está comprometida, pero nada ocurre en Telegram.)

2. Luego, mientras el video sigue reproduciéndose, hacer clic con el botón derecho sobre el video en marcha y elegir “Abrir en una pestaña nueva” en este menú.

El usuario objetivo tenía que hacer exactamente eso, en ese orden exacto. Este hecho NO sucede:

• Si tú simplemente abres el video para reproducirlo en una pestaña nueva. Ningún efecto en absoluto.
• Si abriste el video en modo de pantalla completa. Tampoco hay efectos.

Como puedes ver, el ataque contra Telegram requiere interacciones muy inusuales para que tenga éxito.

¿Por qué la información sesgada, entonces?

Muchos medios de comunicación reportaron erróneamente que Telegram tenía el mismo problema de WhatsApp. La razón para esto es que Check Point eligió escribir su publicación de una manera que maximiza su impacto público. Esto no es inusual para una compañía de seguridad que busca reconocimiento. De todos modos, sigue siendo sorprendente que no se hayan sentido satisfechos con el problema de WhatsApp y hayan incluido declaraciones incorrectas sobre Telegram. Por ejemplo:

Una vez que el usuario hace clic para abrir el archivo malicioso, él permite al atacante acceder al almacenamiento local de WhatsApp y Telegram, donde los datos de los usuarios son almacenados. Desde este punto, el atacante obtiene acceso completo a la cuenta del usuario y sus datos.

La parte sobre Telegram en esta declaración no es verdad. Tristemente, ahora es parte de un bombardeo de artículos escritos por periodistas que están equivocados en todo el mundo. Así que, si ves un titular como “Cómo una foto pudo haber hackeado tus cuentas de WhatsApp y Telegram”, siéntete libre de decirle al autor que ha sido engañado por una compañía de seguridad irresponsable.

A propósito, ¿cómo puedo saber si esto fue usado sobre mi cuenta?

Si utilizas WhatsApp, no puedes saberlo. Lo sentimos. Así es, a menos que tengas completa seguridad de que todas las fotos que has abierto a través de WhatsApp Web venían de fuentes legítimas.

Si eres usuario de Telegram, y utilizas la versión web en lugar de los clientes para escritorio, intenta recordar si alguna vez realizaste el extraño truco explicado arriba. Si, como todos nosotros, nunca has hecho algo como esto, toda la historia no significa nada para ti.

¿Qué nos enseña esta historia sobre el mundo moderno?

Las compañías de seguridad quieren publicidad y los medios de comunicación quieren titulares atractivos, y tú realmente tienes que revisar todo lo que ellos señalen como hechos.

Si quieres leer el artículo original en inglés, puedes hacerlo aquí: http://telegra.ph/Checkpoint-Confusion-NEWS