A principios de febrero la noticia fue «hackean Telegram con un sticker» y esto movió a muchos usuarios; sobre todo porque este mensajero se cataloga como uno de los más seguros del mercado, supone una gran ventaja sobre su competencia más directa, Whatsapp, e incluso Signal.
La empresa Shielder descubrió que través del envío de un sticker podían acceder a fotos, videos y archivos del usuario; esta puerta se abría al enviarlo a través de la función de chat secreto.
El fallo afecta a las versiones de Android, iOS y macOS de Telegram; según la empresa se solucionó mediante un parche publicado entre el 30 de septiembre y el pasado 2 de octubre del 2020.
Para Shielder la clave fue el encriptado que utiliza en la modalidad de chat secreto. En los chats “normales” la plataforma utiliza una encriptación Cliente-Servidor, que desencriptan y se vuelven a encriptar los mensajes en los servidores de Telegram antes de llegar al destinatario. Al utilizar un intermediario, este método podría suponer un mayor grado de vulnerabilidad, aunque en este caso la brecha ha sido detectada en otro sitio: en los chats secretos.
En los chats secretos el encriptado se modifica pero se permite continuar con la gestión de los stickers animados. Aprovechando este fallo los atacantes podían incluir código malicioso en el sticker para enviarlo y dejar expuestos todos los mensajes, fotos y videos de las víctimas, tanto de los chats normales como de los propios chats secretos.
Aunque llevar a cabo un ataque de este nivel precisa cierto nivel de sofisticación es importante que los usuarios conozcan las vulnerabilidades de las aplicaciones son más populares en el mercado; pues su privacidad y seguridad quedan comprometidas con este tipo de fallos que se conocen mucho tiempo después de que las empresas actualizan el código.