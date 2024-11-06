Desde su lanzamiento en agosto de 2013, Telegram se ha convertido en la aplicación de mensajería preferida por los usuarios preocupados por la privacidad. Para empezar a utilizar la aplicación, los usuarios pueden registrarse utilizando su número de teléfono real o un número anónimo adquirido en el mercado de blockchain de Fragment. En el caso de este último, Telegram no puede vincularse al número de teléfono real del usuario ni a ninguna otra información de identificación personal (PII).
Telegram también es conocido desde hace mucho tiempo por su política de moderación sin intervención. La plataforma declaró explícitamente en sus FAQ que los chats privados estaban totalmente fuera del alcance de la moderación. En su lugar, la moderación de contenidos estaba dirigida por los usuarios, y la denuncia de actividades ilegales se dejaba principalmente en manos de los propios usuarios. Por el contrario, muchos de sus homólogos, como WhatsApp, invierten mucho en la moderación de contenidos y en la cooperación con las fuerzas de seguridad.
Estas características también han convertido a Telegram en la aplicación preferida para el cibercrimen y otras actividades ilegales. Esto incluye distribuir malware, vender bienes y servicios ilegales, reclutar colaboradores y coordinar ciberataques. Para los grupos de cibercrimen más organizados, Telegram es un centro para compartir inteligencia operativa y ampliar sus negocios ilícitos de forma muy similar a como lo hacen las organizaciones legítimas en los canales convencionales.
Sin embargo, el enfoque de Telegram sobre la privacidad del usuario y la moderación de contenidos cambió significativamente tras la detención del CEO Pavel Durov en Francia el 24 de agosto de 2024, y la empresa cambió silenciosamente su página de preguntas frecuentes y su política de privacidad en las semanas siguientes. Aunque el código fuente de la aplicación no ha cambiado, según el portavoz de Telegram, Remy Vaughn, los usuarios ahora pueden denunciar actividades ilegales para su eliminación automatizada o moderación manual. Además, Telegram también actualizó su política de privacidad, afirmando que, al recibir una orden judicial válida, divulgará los números de teléfono y las direcciones IP de los usuarios.
Aunque estos cambios son, sin duda, un paso en la dirección correcta para las fuerzas del orden, también están impulsando una migración de la actividad cibercriminal a otras plataformas, como Signal o Session. Un sindicato de cibercrimen, conocido como la banda de ransomware Bl00dy, declaró públicamente que abandonaba Telegram como resultado directo del cambio de política de la empresa. Muchos grupos hacktivistas también han seguido su ejemplo, al igual que los usuarios legítimos que confían en Telegram para la libertad de expresión en los regímenes opresivos.
Lamentablemente, también se podrían ver esos cambios de política como un mero desplazamiento de la actividad ilegal, ya que el cibercrimen se fragmenta en una gama cada vez mayor de plataformas. Potencialmente, esto puede dificultar a las fuerzas del orden y a los analistas de ciberseguridad el seguimiento y la desarticulación de actores de amenazas. Por ejemplo, los red teams pueden tener más dificultades para acceder a estas comunidades subterráneas para identificar y mitigar las amenazas antes de que puedan causar daños reales.
Telegram ha sido durante mucho tiempo una rica fuente de inteligencia de amenazas, con muchos canales públicos que se utilizan para organizar la actividad cibercriminal. Aunque los chats privados, en su mayoría, han estado completamente fuera de alcance tanto para analistas de amenazas como para las fuerzas del orden, también se han aplicado políticas de moderación más estrictas a los canales públicos, lo que podría facilitar la exposición de criminales. Aunque pocos dirían que eso es malo en principio, hay que tener en cuenta una salvedad: los delincuentes podrían simplemente trasladarse a otro lugar.
Quizás aún más preocupante sea la mayor posibilidad de que los ciberdelincuentes y los hacktivistas se vean empujados hacia el cibercrimen y el ciberespionaje patrocinados por el Estado. Esto también aumenta la probabilidad de que los actores de amenazas utilicen plataformas cifradas y descentralizadas de extremo a extremo que tienen incluso menos supervisión que Telegram. Esto podría complicar los esfuerzos de los red teams encargados de simular ataques o monitorizar estas comunidades, y reducir así su capacidad para detectar amenazas a tiempo.
Ninguna de estas afirmaciones significa necesariamente que vaya a producirse un éxodo masivo de la actividad delictiva cibernética en Telegram. Después de todo, con alrededor de 900 millones de usuarios mensuales, según los propios datos de Telegram, la plataforma sigue contando con la enorme audiencia que necesitan las operaciones cibernéticas delictivas a gran escala, como el malware como servicio, para ampliar su alcance.
Además, los nuevos usuarios pueden seguir registrándose de forma anónima usando un número comprado en la blockchain Fragment, en cuyo caso la promesa de Telegram de cumplir con una solicitud de las fuerzas del orden para obtener el número de teléfono de un usuario deja de ser relevante. Dicho esto, Telegram seguirá pudiendo compartir direcciones IP, que podrían seguir utilizándose para rastrear la actividad de los usuarios.
Como bien sabe todo líder de seguridad, el panorama de amenazas está en constante cambio y se vuelve más complejo a medida que las operaciones cibercriminales se fragmentan entre plataformas. Muchas herramientas y estrategias de monitorización de amenazas tienen dificultades para mantenerse al día, por lo que ofrecen una cobertura limitada o nula para plataformas distintas de Telegram. El continuo auge de plataformas descentralizadas y de código abierto solo complicará aún más la búsqueda de amenazas y análisis. Además, los Estados rivales están desarrollando sus propias plataformas de ciberespionaje y cibercrimen patrocinado por el Estado.
Nunca ha sido más importante adoptar una postura proactiva en materia de ciberseguridad, que abarque todas las plataformas y sea capaz de priorizar la atribución de amenazas a través de múltiples puntos de datos. Eso significa recurrir a una combinación de experiencia humana y herramientas avanzadas de anlisis para acceder a la inteligencia de canales que, de otro modo, podrían permanecer ocultos.
La inteligencia de amenazas con IA ofrece un potente complemento a la experiencia y el conocimiento de los talentosos analistas de seguridad. Por ejemplo, la estilometría, que examina las características lingüísticas para crear un perfil único del estilo de escritura del usuario, puede ayudar a identificar a los ciberdelincuentes y a detectar las amenazas internas, independientemente de la plataforma que utilicen. La IA ayuda a hacerlo posible a una escala que los analistas humanos por sí solos no serían capaces de abordar.
Aunque los ciberdelincuentes migran a una gama cada vez mayor de otras plataformas, su comportamiento sigue revelando diversos patrones. Gracias a la capacidad de rastrear sus actividades, como el momento en que se publican determinados mensajes y los estilos de interacción, los analistas pueden crear perfiles completos que les ayudan a vincular operaciones y personas en diferentes plataformas.
Aunque cada vez será más difícil, si no imposible, rastrear datos como los metadatos transaccionales o los historiales de transacciones con criptomonedas, las herramientas de análisis de comportamiento con IA pueden ayudar a paliar esta situación, ya que permiten a los analistas identificar a los actores de amenazas y sus vectores de ataque. Esto solo será más importante a medida que la actividad del cibercrimen se disperse entre las plataformas y los analistas de seguridad intenten mantener la visibilidad en la próxima generación de ciberamenazas.