Vulnerabilidades de seguridad en Telegram: un análisis exhaustivo

By /

Un estudio ha revelado vulnerabilidades significativas en el protocolo de cifrado de extremo a extremo de Telegram, específicamente en su implementación MTProto 2.0. Esta investigación destaca riesgos potenciales que deberían considerar tanto usuarios como desarrolladores de aplicaciones de mensajería segura.

A pesar de su reputación como aplicación de mensajería segura, profesionales de la ciberseguridad y periodistas han señalado diversos riesgos de seguridad. Telegram, una aplicación de mensajería gratuita y plataforma de redes sociales, permite a los usuarios comunicarse mediante chats individuales y de grupo, llamadas de voz y vídeo, y canales. Es un servicio de mensajería basado en la nube, lo que significa que la mayoría de los chats se almacenan en servidores en la nube y no de forma local en los dispositivos, ofreciendo sincronización en todos los dispositivos, pero implicando que la mayoría de los chats no están cifrados de extremo a extremo a menos que se inicien chats secretos.

Análisis del protocolo MTProto y sus implicaciones

Puntos clave del estudio sobre MTProto 2.0

Los investigadores identificaron vulnerabilidades que permiten ataques de sustitución de algoritmo en el protocolo MTProto 2.0, la base criptográfica de Telegram. Además, Telegram utiliza su propio protocolo no estándar, MTProto, que contiene serias vulnerabilidades criptográficas, según se ha descubierto.

El protocolo MTProto es el cifrado personalizado de seguridad de Telegram, diseñado por el cofundador Nikolai Durov, y tiene como objetivo impedir que miradas indiscretas accedan a los mensajes en la aplicación. Se diseñó específicamente para el servicio de mensajería en la nube de Telegram. Sin embargo, carece de las revisiones de seguridad comunes a otros protocolos de cifrado ampliamente utilizados.

Cifrado de extremo a extremo (E2EE) en Telegram

El software de cifrado de extremo a extremo (E2EE) hace casi imposible que nadie, aparte del remitente y el destinatario, pueda ver los mensajes. Sin embargo, E2EE no está activado de forma predeterminada para la mayoría de los mensajes. Esto significa que los chats normales en la nube se almacenan en los servidores de Telegram, y solo los "Chats Secretos" tienen esta protección, los cuales deben ser activados manualmente por el usuario. Los chats de grupo, canales y la correspondencia personal estándar carecen de cifrado de extremo a extremo y se pueden leer, al menos en los servidores de Telegram.

Los chats secretos solo son accesibles desde un dispositivo y tienen una función de seguridad más sólida al utilizar E2EE. Una vulnerabilidad explotable de divulgación de información fue detectada en la funcionalidad de "Chats Secretos" de la aplicación de mensajería de Telegram para Android en la versión 4.9.0. Esta vulnerabilidad permite que las fotos tomadas y compartidas en chats secretos se mantengan incluso después de su eliminación, ya sea por temporizador o por solicitud directa.

Riesgos y vulnerabilidades de seguridad identificadas

Brecha de seguridad crítica Zero-Click RCE

No Patch. No Warning. Just Attack. | Zero-Day Explained | Adaptivids

El mensajero Telegram es vulnerable a una falla crítica que permite a los hackers tomar el control de las cuentas sin ninguna acción por parte del usuario. La brecha está registrada en la base del proyecto Zero Day Initiative y recibió 9,8 puntos sobre 10 en la escala general de evaluación de peligros CVSS. El descubrimiento ocurrió el 26 de marzo de 2026, y los datos se harán públicos después del 24 de julio. Los expertos ya confirmaron que para explotar la vulnerabilidad no se requiere la interacción con la víctima y la complejidad del ataque se considera baja.

Especialistas de Positive Technologies y Kaspersky fueron los primeros en llamar la atención sobre esta amenaza. Alexander Leonov, experto principal en gestión de vulnerabilidades del PT Expert Security Center, explicó que un atacante puede enviar a la víctima un archivo multimedia malicioso especialmente preparado. Al ver este archivo, incluso sin hacer clic en él, se puede ejecutar código malicioso en el dispositivo. Teóricamente, los hackers pueden obtener control total sobre el mensajero o acceso completo a la cuenta del usuario, incluyendo la correspondencia. Según datos de los hackers, para atacar Android y Linux basta con enviar un sticker animado, lo que lleva a la ejecución remota de código (zero-click RCE). Ya existen un exploit funcional y un generador de archivos, y han aparecido publicaciones en Telegram sobre la venta de información acerca de esta brecha.

Vladimir Daschenko, experto de Kaspersky ICS CERT, calificó la situación como «diversión corta pero intensa» si los datos no resultan ser una estafa, ya que de ser cierta, la vulnerabilidad se cerraría rápidamente. Al momento de la publicación, no existe un parche oficial de los desarrolladores de Telegram. La vulnerabilidad figura en la categoría Upcoming con la nota de que los detalles se revelarán después del 24 de julio de 2026, para que la empresa tenga tiempo de corregirla. Para comparar, las vulnerabilidades críticas anteriores en Telegram requerían al menos una interacción mínima del usuario (por ejemplo, hacer clic en un enlace). Un Zero-click RCE es extremadamente raro y se considera una de las clases de vulnerabilidades más peligrosas en los mensajeros. La evaluación de 9,8 puntos se acerca al máximo (10) e indica la posibilidad de un compromiso total del dispositivo sin el conocimiento del propietario.

Otras vulnerabilidades y riesgos

  • Claves de descifrado carecen de seguridad: Los chats de Telegram están cifrados entre el cliente y los servidores de Telegram, pero las claves de descifrado también se almacenan en esos servidores.
  • No hay cifrado de extremo a extremo para los chats normales: Telegram solo ofrece E2EE para los chats secretos, que el usuario debe activar manualmente.
  • No hay cifrado de extremo a extremo para los chats de grupo: A diferencia de los chats individuales, los chats de grupo no tienen la opción de chat secreto, por lo que no están cifrados de extremo a extremo.
  • Código cerrado del lado del servidor: El código del lado del servidor de Telegram es privado.
  • Vulnerabilidades potenciales en el protocolo MTProto: Aunque MTProto está diseñado para la seguridad, carece de las revisiones de seguridad comunes a otros protocolos de cifrado ampliamente utilizados.
  • Los servidores de Telegram almacenan metadatos: Incluso para los chats privados, Telegram almacena algunos datos del usuario como tu dirección IP, el nombre de usuario y la hora de envío de un mensaje.
  • Problemas de phishing y contenido ilícito: Los usuarios que entran en chats de grupo pueden estar expuestos a contenidos inseguros o ilícitos.
  • Rastreo de usuarios: Es posible que te rastreen a través de Telegram, aunque es muy poco probable. Telegram es muy seguro, pero almacena las direcciones IP de los usuarios en sus servidores. Un informe descubrió que los hackers podían acceder a la dirección IP de un usuario con solo recibir una llamada suya en la aplicación.
  • Ingeniería social en grupos grandes: En los grupos de Telegram más grandes y no moderados, los hackers pueden utilizar esquemas de ingeniería social para engañar a los usuarios y que les añadan a sus contactos.

Implicaciones para el ecosistema startup

Para fundadores y equipos tecnológicos, estas revelaciones tienen importantes implicaciones.

1. Desarrollo de productos

Si estás desarrollando aplicaciones que manejan datos sensibles o comunicaciones privadas, es crucial:

  • Implementar protocolos de cifrado probados y auditados externamente.
  • Realizar auditorías de seguridad regulares.
  • Mantener transparencia sobre las medidas de seguridad implementadas.

2. Decisiones empresariales

Al elegir plataformas de comunicación para tu startup, es importante:

  • Evaluar el nivel de seguridad requerido según el tipo de información manejada.
  • Considerar soluciones que ofrezcan verdadero cifrado de extremo a extremo.
  • Implementar políticas claras de manejo de información sensible.

Recomendaciones de seguridad y mitigación de riesgos

Para usuarios de Telegram

Infografía con consejos de seguridad digital para usuarios de mensajería

Para maximizar la seguridad en las comunicaciones empresariales y personales:

  • Utilizar Secret Chats en Telegram para conversaciones sensibles: esta función está algo oculta y hay que activarla manualmente para chats personales seleccionados.
  • Implementar autenticación de dos factores (2FA): Activar esta función en la configuración de Privacidad y seguridad requiere introducir dos formas de verificación para iniciar sesión en Telegram en un nuevo dispositivo. Los bots de contraseña de un solo uso (OTP) ayudan a los phishers a eludir automáticamente el 2FA.
  • Mantener actualizadas todas las aplicaciones de comunicación: Esto asegura que se apliquen los últimos parches de seguridad.
  • Capacitar al equipo en mejores prácticas de seguridad digital: Fomentar la educación sobre riesgos y medidas preventivas.
  • Revisar la configuración de privacidad: Parte de la información personal de tu cuenta de Telegram podría ser pública, incluidos tu número de teléfono y tu foto de perfil. Limita el acceso personalizando tu configuración de privacidad.
  • Desconfiar de los bots de Telegram: Otros usuarios pueden crear bots (que funcionan de forma similar a las aplicaciones) con la API de Telegram. Estos bots no son verificados y pueden contener vulnerabilidades o tener intenciones maliciosas, como ataques de phishing. Evita interactuar con bots en grupos o canales de Telegram.
  • Tener cuidado con quién chateas: No añadas usuarios desconocidos a tus contactos. Nunca aceptes llamadas ni invitaciones a chatear de usuarios que no conozcas.
  • Bloquear a los creadores de spam: A pesar de los esfuerzos de Telegram, los creadores de spam pueden enviar mensajes.
  • Utilizar una VPN: Activar una VPN antes de chatear es una de las mejores formas de mantenerse más seguro. Avast SecureLine VPN, por ejemplo, oculta la actividad en internet y protege la conexión con cifrado de nivel bancario.

Gestión de datos y chats

Se ha recomendado a algunos usuarios que eliminen los chats antiguos en Telegram, como los relacionados con el trabajo. Sin embargo, este consejo parece cuestionable, ya que en las bases de datos (donde se almacenan los mensajes en el servidor), las entradas rara vez se eliminan, sino que simplemente se marcan como eliminados. Además, como en cualquier infraestructura informática importante, es probable que Telegram implemente un sistema robusto de copias de seguridad de los datos, lo que significa que los mensajes “eliminados” se mantendrán al menos en las copias de seguridad de la base de datos. Tal vez sea más eficaz para los dos participantes del chat (o para los administradores del grupo) eliminar por completo la conversación.

Descargar los datos a tu ordenador podría llevar varias horas, así como requerir decenas o incluso cientos de gigabytes de espacio libre, en función de cuánto uses Telegram y de los ajustes de exportación seleccionados. Puedes cerrar la ventana de exportación, pero asegúrate de no salir de la aplicación y de no desconectar el equipo de Internet ni de la red eléctrica.

Sobre la continuidad del servicio

Varios observadores han expresado su preocupación por que Telegram pueda ser eliminado de las tiendas de aplicaciones, que lo bloqueen o que se interrumpa su disponibilidad de algún otro modo.

  • En iOS: Los de Cupertino no eliminan aplicaciones de los teléfonos de los usuarios, ni siquiera cuando las aplicaciones se eliminan del App Store, por lo que cualquier consejo sobre cómo evitar la eliminación de Telegram de los iPhone será falso. Un método popular para “evitar la eliminación de Telegram” que circula en Internet ―usar el menú de Tiempo en pantalla― no impide que Apple elimine aplicaciones; solo evita que ciertos usuarios (por ejemplo, los niños) eliminen las aplicaciones ellos mismos, siendo una función de control parental.
  • En Android: Google tampoco suele eliminar aplicaciones, salvo cuando se trata de software 100% malicioso.

Clientes alternativos y riesgos

Existen clientes no oficiales de Telegram que funcionan y son legales, e incluso un “cliente alternativo oficial”: Telegram X. Todos estos clientes usan la API de Telegram, pero no está claro si ofrecen alguna ventaja adicional o una mayor seguridad. Existe la posibilidad de descargar malware que se haga pasar por un cliente alternativo de Telegram, ya que los estafadores no pierden la ocasión de explotar la popularidad de la aplicación.

Telegram como plataforma para ciberdelincuentes

Telegram se ha convertido en una plataforma cada vez más popular entre los ciberdelincuentes para vender malware y servicios de phishing. Puede que esto sorprenda, dada su reputación de aplicación de mensajería segura, pero en realidad está facilitando aún más que los actores de amenazas puedan realizar negocios millonarios, sin tener que indagar en foros especializados o en acceder a páginas cerradas en la DarkNet, sino que todo está a una simple búsqueda en la aplicación.

Investigadores de la empresa de ciberseguridad Kaspersky han observado una fuerte tendencia y han descubierto que se han estado formando diversas comunidades en torno al phishing. Un informe de Kasperksy señala que los phishers venden todo tipo de material y servicios de phishing a compradores interesados, incluidos kits listos para usar páginas falsas, suscripciones a herramientas, guías y soporte técnico. Según los investigadores, los siguientes servicios se ofrecen a través de Telegram en este momento:

  • Kits de phishing gratuitos con herramientas preempaquetadas que permiten a los usuarios crear páginas de phishing que imitan marcas conocidas.
  • Creación de páginas de phishing y recopilación de datos de usuario automatizadas (basadas en bots).
  • Páginas premium de phishing y estafa con una interfaz personalizable, sistemas anti-bot, bloqueo geográfico, encriptación de URL e incluso elementos de ingeniería social. El costo de estos kits oscila entre $10 y $300, dependiendo de sus características.
  • Datos personales robados y credenciales bancarias en línea que a menudo se verifican.
  • Suscripciones de phishing como servicio (PhaaS) que brindan acceso a herramientas, guías para principiantes, soporte técnico y actualizaciones periódicas para los sistemas antidetección proporcionados.
  • Bots de contraseña de un solo uso (OTP) que ayudan a los phishers a eludir automáticamente el 2FA (autenticación de dos pasos). Estos servicios se ofrecen en modelos de suscripción a un precio indicativo de $130 USD por semana o $500 USD al mes, para implementaciones personalizadas.

Algunos proveedores que se preocupan por su reputación venden kits que cifran los datos robados para que ni ellos ni los operadores puedan acceder a la información de la víctima sin pagar su parte a la otra parte. Los investigadores de Kaspersky dicen que Telegram también es el lugar para que los aspirantes a estafadores se familiaricen más con el negocio del phishing de forma gratuita.

Seguridad en bots de Telegram

Diagrama de flujo de seguridad para el desarrollo y uso de bots de Telegram

La seguridad de los bots de Telegram al manejar datos sensibles depende de una implementación y configuración con medidas de seguridad adecuadas. Los bots de Telegram ofrecen automatización de tareas, atención al cliente, generación de leads, programación de citas, envío de notificaciones y encuestas, siendo una herramienta poderosa para empresas. Sin embargo, el nivel de seguridad depende de la arquitectura, las prácticas de desarrollo y las políticas operativas.

Riesgos comunes

  • Fugas por comunicaciones no cifradas.
  • Accesos no autorizados a APIs.
  • Almacenamiento inseguro en servidores.
  • Vulnerabilidades en el código del bot o servicios asociados.

Medidas protectoras recomendadas

  • Cifrado extremo a extremo y uso de suites criptográficas robustas.
  • Controles de acceso granulares con políticas basadas en roles.
  • Autenticación multifactor y, cuando procede, integración con single sign-on.
  • Prácticas de desarrollo seguro y pruebas de penetración por terceros.
  • Monitoreo continuo para detectar comportamientos anómalos y amenazas.
  • Segregación y cifrado de datos en reposo y en tránsito.
  • Auditorías y documentación de controles para cumplimiento y trazabilidad.

Empresas como Q2BSTUDIO aplican estas buenas prácticas como parte de una oferta integral de servicios, abarcando desarrollo de aplicaciones a medida, implementación de soluciones de inteligencia artificial y despliegues seguros en la nube. Cuentan con equipos especializados en ciberseguridad que realizan pentesting, revisión de código y hardening de infraestructuras para minimizar riesgos. Además, integran agentes IA y soluciones de IA para empresas que permiten automatizar respuestas, enriquecer datos y aplicar motores de decisión sin comprometer la privacidad. También abordan despliegues en entornos cloud con mejores prácticas para servicios cloud AWS y Azure, diseño de backends seguros y estrategias de backup y recuperación. Complementan estos servicios con inteligencia de negocio y visualización mediante Power BI para convertir datos en decisiones accionables, y con automatización de procesos que reduce errores humanos y mejora la trazabilidad.

En conclusión, los bots de Telegram pueden manejar datos sensibles de forma segura si se implementan controles técnicos y organizativos adecuados.

Contexto legal y controversias

Telegram ha recibido elogios por su privacidad y sus funciones; sin embargo, se ha visto envuelto en polémicas. Ha ayudado a movimientos de protesta (como los de Hong Kong, Bielorrusia y Rusia) a coordinar actividades de forma más segura y privada. Telegram es conocido por evitar cooperar con las autoridades incluso cuando se utiliza para actividades ilegales. Su fundador, Pavel Durov, fue detenido en 2024 en Francia por «complicidad en la gestión de una plataforma en internet para permitir transacciones ilícitas por parte de un grupo organizado».

En el momento de redactar este artículo, Pavel Durov, tras haber sido detenido en Francia, ha sido puesto en libertad bajo una fianza de 5 millones de euros y se le ha prohibido salir del país. No está nada claro cómo pueden desarrollarse los acontecimientos en el plano judicial, pero mientras tanto, los estafadores ya están explotando la atención masiva y el pánico que rodea a Telegram, y circulan muchos consejos dudosos en redes sociales sobre qué hacer con la aplicación ahora.

La opinión es clara: los usuarios de Telegram deben mantener la calma y actuar únicamente en virtud de los hechos que se conocen hasta ahora. En pocas palabras, la mayoría de los chats en Telegram no se pueden considerar confidenciales; y esto siempre ha sido así. Si has intercambiando información confidencial en Telegram sin utilizar chats secretos, debes asumir que se ha visto comprometida.

Muchos medios de comunicación apuntan a que la principal denuncia contra Durov y Telegram es su negativa a cooperar con las autoridades francesas y a facilitar las “claves de Telegram”. Los creadores afirman que los chats se almacenan en un país, mientras que las claves se almacenan en otro, pero si se tiene en cuenta que todos los servidores se comunican entre sí, no está claro hasta qué punto es efectiva esta medida de seguridad en la práctica.

tags: #cuales #pueden #ser #las #vulnerabilidades #de

Publicaciones populares:

  • Cómo obtener la Credencial OS-10
  • Prestaciones de salud mental para personas mayores
  • estrategias de inglés para alumnos con discapacidad intelectual
  • Hogar de Cristo: un pilar en Chile
  • Beneficios para la tercera edad