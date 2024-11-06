Desde su lanzamiento en agosto de 2013, Telegram se ha convertido en la aplicación de mensajería preferida por los usuarios preocupados por la privacidad. Para comenzar a usar la aplicación, los usuarios pueden registrarse con su número de teléfono real o con un número anónimo comprado en el mercado de blockchain de Fragment. En el caso de este último, Telegram no puede vincularse con el número de teléfono real del usuario ni con ninguna otra información de identificación personal (PII).
Telegram también es conocido desde hace tiempo por su política de moderación no intervencionista. La plataforma declaró explícitamente en sus preguntas frecuentes que los chats privados estaban totalmente prohibidos para la moderación. En cambio, la moderación del contenido estaba impulsada por el usuario, y la denuncia de actividades ilegales se dejaba principalmente a los propios usuarios. Por el contrario, muchos de sus pares, como WhatsApp, invierten mucho en moderar el contenido y cooperar con las fuerzas del orden.
Estas características también han convertido a Telegram en la aplicación de mensajería preferida para delitos cibernéticos y otras actividades ilegales. Esto incluye distribuir malware, vender bienes y servicios ilegales, reclutar colaboradores y coordinar ciberataques. Para los grupos de delito cibernético más organizados, Telegram es un centro para compartir inteligencia operativa y amplificar negocios ilícitos, de forma muy similar a como hacen las organizaciones legítimas en los canales convencionales.
Sin embargo, el enfoque de Telegram con respecto a la privacidad del usuario y la moderación de contenido cambió significativamente tras el arresto del director ejecutivo Pavel Durov en Francia el 24 de agosto de 2024, y la empresa cambió silenciosamente su página de preguntas frecuentes y su política de privacidad en las semanas siguientes. Aunque el código fuente de la aplicación no ha cambiado, según el portavoz de Telegram, Remy Vaughn, los usuarios ahora pueden denunciar actividades ilegales para su eliminación automatizada o moderación manual. Además, Telegram también actualizó su política de privacidad, indicando que, al recibir una orden judicial válida, divulgará los números de teléfono y las direcciones de los usuarios.
Aunque podría decirse que estos cambios son un paso en la dirección correcta para las fuerzas del orden, también están impulsando una migración de la actividad delictiva cibernética a otras plataformas, como Signal o Session. Un sindicato de delitos cibernéticos, conocido como la banda de ransomware Bl00dy, declaró públicamente que abandonaría Telegram como resultado directo del cambio de política de la empresa. Muchos grupos hacktivistas también han seguido su ejemplo, al igual que los usuarios legítimos que confían en Telegram para la libertad de expresión en regímenes opresivos.
Desafortunadamente, también se podría ver tales cambios de política como un mero desplazamiento de la actividad ilegal, con el delito cibernético fragmentado en una gama cada vez más amplia de plataformas. Potencialmente, esto puede dificultar que los analistas de seguridad y seguridad cibernética rastreen e interrumpan a los actores de amenazas. Por ejemplo, los equipos rojos pueden tener más dificultades para acceder a estas comunidades subterráneas para identificar y mitigar las amenazas antes de que puedan causar daños reales.
Telegram ha sido durante mucho tiempo una rica fuente de inteligencia de amenazas, con muchos canales públicos que se utilizan para organizar la actividad delictiva cibernética. Aunque los chats privados, en su mayoría, estuvieron completamente fuera de alcance tanto para analistas de amenazas como para las fuerzas del orden, también se aplicaron políticas de moderación más estrictas a los canales públicos, lo que podría facilitar la exposición de criminales. Sin embargo, aunque pocos dirían que eso es algo malo en principio, hay que tener en cuenta una salvedad: los delincuentes podrían simplemente moverse a otro lugar.
Quizás aún más preocupante es la mayor posibilidad de llevar tanto a los delincuentes cibernéticos como a los hacktivistas a los brazos del delito cibernético y el espionaje cibernético patrocinados por el estado. Esto también abre la probabilidad de que los actores de amenazas utilicen plataformas cifradas y descentralizadas de extremo a extremo que tienen incluso menos supervisión que Telegram. Esto podría complicar los esfuerzos de los equipos rojos encargados de simular ataques o monitorear estas comunidades, reduciendo así sus capacidades para detectar amenazas de manera temprana.
Nada de lo anterior significa necesariamente que habrá un éxodo masivo de actividades delictivas cibernéticas de Telegram. Después de todo, con alrededor de 900 millones de usuarios mensuales, según los propios datos de Telegram, la plataforma todavía tiene la audiencia masiva que las operaciones delictivas cibernéticas a gran escala, como el malware como servicio, necesitan para ampliar su alcance.
Además, los nuevos usuarios aún pueden registrarse de forma anónima utilizando un número comprado en la Blockchain Fragment, en cuyo caso la promesa de Telegram de cumplir con una solicitud de las autoridades para obtener el número de teléfono de un usuario se vuelve irrelevante. Dicho esto, Telegram aún podrá Compartir direcciones IP, que aún podrían usarse para rastrear la actividad de un usuario.
Como bien saben todos los líderes de seguridad, el escenario de amenazas cambia constantemente y se vuelve más complejo a medida que las operaciones delictivas cibernéticas se fragmentan más en todas las plataformas. Muchas herramientas y estrategias de monitoreo de amenazas tienen dificultades para mantenerse al día, por lo que ofrecen una cobertura limitada o nula para plataformas distintas de Telegram. El continuo auge de las plataformas descentralizadas y de código abierto solo complicará aún más la caza de amenazas y el análisis. Además, los estados rivales están desarrollando sus propias plataformas para el ciberespionaje y el delito cibernético patrocinado por el estado.
Nunca ha sido más importante adoptar una postura proactiva en materia de ciberseguridad, que abarque todas las plataformas y sea capaz de priorizar la atribución de amenazas a través de múltiples puntos de datos. Esto implica recurrir a una combinación de experiencia humana y herramientas avanzadas de analytics para obtener acceso a información de inteligencia procedente de canales que, de otro modo, podrían permanecer ocultos.
La inteligencia de amenazas impulsada por IA ofrece un poderoso complemento a la experiencia y el insight de los talentosos analistas de seguridad. Por ejemplo, la estilometría, que examina las características lingüísticas para crear un perfil único del estilo de escritura de un usuario, puede ayudar a identificar a los ciberdelincuentes y detectar amenazas de usuarios internos, independientemente de la plataforma que estén utilizando. La IA ayuda a que eso sea posible a una escala que los analistas humanos por sí solos no podrían abordar.
A pesar de que los ciberdelincuentes migran a una gama cada vez mayor de otras plataformas, su comportamiento sigue revelando diversos patrones. Con la capacidad de rastrear sus actividades, como el momento de ciertas publicaciones y estilos de interacción, los analistas pueden crear perfiles completos que pueden ayudarlos a vincular operaciones e individuos en todas las plataformas.
Si bien será más difícil, si no imposible, rastrear puntos de datos como metadatos transaccionales o historiales de transacciones de criptomonedas, las herramientas de análisis de comportamiento impulsadas por IA pueden ayudar a cerrar la brecha al ayudar a los analistas humanos a identificar a los actores de amenazas y sus vectores de ataque. Esto solo será más importante a medida que la actividad del delito cibernético se disperse en todas las plataformas y los analistas de seguridad traten de mantener la visibilidad de la próxima generación de amenazas cibernéticas.