sábado, julio 04, 2020

Telegram: O restringes quién te puede localizar y llamar o recibe una llamada inesperada de cualquiera

Hoy sábado os voy a contar una sencilla característica que por defecto tiene Telegram que merece la pena que la revises si no la conoces. Es una característica por defecto que me he encontrado en el cliente y me ha parecido que es conveniente bloquearla. Sobre todo cada vez que hay un lío con WhatsApp, y muchos se mueven como alternativa a Telegram sin conocer bien, o sin pararse a revisar, todas las opciones de privacidad y seguridad.

Figura 1: Telegram: O restringes quién te puede localizar y llamar
o recibe una llamada inesperada de cualquiera

Telegram es un sistema muy similar a WhatsApp en apariencia, pero tienen muchas cosas distintas. Una de ellas es que mientras que en WhatsApp se utiliza el número de teléfono como identificador de usuario, en Telegram puedes tener un usuario basado en un UserId, similar al que teneos en Twitter, o en muchos servicios de Internet.

Hasta aquí perfecto, ya que puedes utilizar tu mismo UserId de Twitter, o el que te mole a ti. Lo que está genial porque no depende únicamente del teléfono en el que instales la aplicación. En WhatsApp cuando alguien cambia de número de teléfono hay que avisar a los contactos, y Facebook ha tenido que meter hasta sistemas de avisos y notificaciones cuando se cambia un número de teléfono de un contacto tuyo en WhatsApp.

Entendida la primera diferencia, vamos a ver la segunda característica que existe en Telegram y WhatsApp que hay que entender para decidir si lo que os voy a contar hay que revisarlo o no. Se trata de que tanto en Telegram como en WhatsApp se pueden hacer llamadas OTT (Over The Top) usando servicios de Internet. Tecnologías VoIP que, para evitar ataques man in the middle, en Telegram se pueden configurar para que sean P2P (Peer to Peer), lo que está muy bien porque deja poco rastro de la llamada y además va a cifrado.

Figura 2: Libro de Hacking y Seguridad VoIP 2ª Edición
de José Luis Verdeguer

Pero como en Telegram se pueden hacer llamadas a tu identificador, y éste, como ya hemos dicho puede ser tu número de teléfono - que normalmente solo se lo das a los amigos - o tu UserId que, normalmente, suele ser algo bastante público. Sobre todo si utilizas el de siempre en tus redes sociales y servicios de Internet

Figura 3: Si tienes el UserID por defecto puedes llamarle por teléfono.

Así que, si alguien tiene tu UserId porque has utilizado el mismo en Telegram que en Twitter, te puede llamar en cualquier momento por teléfono y decirte: "Hola Hacker!". Aunque no sé si es lo que deseas tú, que te llamen a cualquier hora cualquier persona. No importa si no has compartido el número de teléfono con la gente que no te tiene en los contactos. Necesitas restringir quién te puede llamar también.

Figura 4: Se puede llamar aunque el número de teléfono
esté oculto y no te tenga en sus contactos.

Pero aún es más divertido. Resulta que Telegram tiene una opción de hacer Global Search y busca por UserId, y por defecto todos los que se instalan la app están en la base de datos de búsqueda, así que te puedes dedicar a buscar a gente por su UserID de Twitter, u otra red social, y ver si le puedes llamar o no.

Figura 5: En la Global Search salen canales, grupos y... userid si buscas bien.

Yo lo he probado con deportistas, personalidades de televisión, y gente popular y he visto que podía llamar a muchos de ellos, y de hecho, antes de publicar este artículo he avisado a algunos de mis amigos para que lo revisaran.

Figura 6: Se busca el UserId se mira la info y se da a llamar. Done.

Y lo hice con mi amigo Amador Aparicio, al que le di una agradable sorpresa al hacerle la llamada, para probar que funcionaba. Pero podría haber sido cualquier otra llamada de cualquier otra persona y a cualquier hora.

Cómo solucionarlo

En las opciones de Privacidad de Telegram tienes una serie de opciones que tienes que configurar. Lo primero es decidir quién va a poder ver tu número de teléfono, que debes restringir para que no lo vea nadie, o solo tus contactos de agenda. 

Figura 7: Opciones de privacidad en Telegram

Después tienes otras opciones como la de quién puede incluirte en grupos - que evitaba el problema del desbloqueo de cuentas bloqueadas en WhtasApp con servicios de terceros como Desbloquéame - o las de quién puede ver la última vez que te conectaste, tu foto, etcétera. 


Figura8 : Desloquéame. Si dejas que cualquiera te agregue a grupos
entonces cualquiera se desbloquea con un tercero.

Como ya suponíamos cuando publicamos Desbloquéame, WhatsApp acabaría por corregirlo y copiar esta opción de privacidad de Telegram, y hace ya unas versiones se añadió en las opciones, así que para que no se te pueda desbloquear nadie, configura esa opción en WhatsApp también - como en Telegram -.

Figura 9: Quién puede añadirte a grupos para evitar Desbloquéame
y pesados en WhatsApp. Se copió esta opción de Telegram.

Pero también tienes la de quién puede hacerte llamadas de teléfono VoIP, que en mi caso, como Telegram no es un canal para mí de voz, lo tengo a Nobody, porque no quiero que me llame nadie. Y si tú no utilizas Telegram como canal de llamadas de voz, deberías tener cuidado con ello, porque te puedes encontrar con llamadas no deseadas.

Figura 10: ¿Quién te puede llamar por Telegram?

Esa opción de quién te puede llamar, cuando entras en detalle, la puedes personalizar de forma granular, para que se adapte a la mejor experiencia de uso de la app que desees. Pero es importante que no dejes las opciones por defecto si no sabes qué significa eso.

Figura 11: La semana que viene os cuento este bug en WhtasApp

PD: En la próxima actualización de seguridad de WhatsApp se corrige un "bug" de privacidad/seguridad que les reporté, así la semana anterior, así que estad atentos al blog, que en cuanto se corrija os lo cuento.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


1 comentario:

Paco Escriba dijo...

La opcion de Nobody ha desaparecido en Whatsapp para "quien te puede añadir a un grupo". Tienes que especificar las personas a las que prohibes que te añaden... No se porque quitan posibilidades...

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares