Esta mañana, en un hilo en Forocoches un usuario planteaba la duda sobre qué ocurría con tu cuenta de Telegram si por cualquier circunstancia dejas de utilizar tu número actual y se reasigna a otro usuario en la operadora telefónica.
El temor del usuario es que si el nuevo propietario del número se registra en Telegram, tendrá acceso a tu historial de conversaciones, canales, bots y lo más peligroso, archivos en el contenedor personal que muchos usamos como nube privada.
¿Qué hay de cierto en esto y cómo podemos evitarlo?
Sobre el papel la premisa (y el temor) del usuario es válido. Si yo doy de baja un número, la ley establece un periodo de guarda de 30 días, tras los cuales el número se devuelve al operador original (no importa las portabilidades que haya habido entre medio) el cual desde ese momento lo podrá asignar a un alta nueva. Esto significa que si yo doy de baja un número hoy, en un mes podría haber una persona en, por ejemplo, Sevilla, con el número que hasta hoy tenía yo.
Con esto ya vemos los riesgos que representaría a la hora de dar de alta servicios cuyo login depende del teléfono como puede ser Telegram o Whatsapp. Si bien la potencial gravedad de ambos no es la misma (ahora explicaremos el porqué) en ambos podríamos estar dando sin quererlo datos a personas que ni conocemos.
En el caso de Whatsapp, nuestras conversaciones y archivos no se almacenan -lo dejaremos así aunque tendría matices – en la nube de Meta (Propietario de la aplicación de mensajería). Además de la backup local del dispositivo, como mucho tendremos una copia de seguridad en Google Drive o iCloud si utilizamos las opciones de backup en nube que ofrece Whatsapp, pero al depender de una cuenta adicional en estos servicios, podemos estar tranquilos ya que esto dificultaría el acceso terceros a la misma.
Sin embargo, a la hora de una configuración nueva ¿Qué riesgos corremos si no hemos dado de baja la cuenta y otra persona tiene nuestro antiguo número? Se limita a que ese usuario podría llegar a ver nuestro nombre, imagen de perfil y último estado configurado ya que esos datos sí que se almacenan en los servidores de Meta y de hecho en la configuración inicial, se predefinen cuando das de alta la cuenta en un teléfono nuevo.
Para evitar esto, Whatsapp elimina todos los datos de los usuarios a los 45 días de inactividad y trata como un login de un número reciclado todas las cuentas que han pasado ese periodo de gracia. Esto, sin contar 30 días del operador, nos darían 15 días en los que potencialmente podrían filtrarse estos datos (pocos pero suficientes para hacer «maldades»).
Pero, ¿y en el caso de Telegram?
En el caso de Telegram todos nuestros datos se almacenan en los servidores de la aplicación rusa. Y más concretamente, en el caso de Europa esos datos se almacenan en Paises Bajos. Es una de las características geniales de Telegram, puedo iniciar incluso vía web en un ordenador de Japón y ahí tendré todo mi contenido, pero es al mismo tiempo un riesgo enorme si no se protege de forma adecuada.
Si un usuario utiliza su nuevo número para darse de alta en Telegram y su anterior propietario tenía una cuenta de Telegram activa, si no tomó las debidas precauciones, el nuevo propietario tendrá acceso a todo su historial de chats, bots, canales, archivos, etc, etc, etc…y esto sí que es un marrón grande.
¿Hay solución?
La hay. La más importante, aplicable a ambas apps y como norma general a todas las aplicaciones informáticas: MFA (Autenticación multifactor).
Ambas aplicaciones te permiten activar la autenticación multifactor, doble autenticación o doble factor. Esto significa que yo configuro una contraseña (o un pin en el caso de Whatsapp) y cada vez que quiera hacer login en un nuevo dispositivo, además del típico SMS que llegará para verificar la propiedad del número, deberemos introducir esa contraseña.
Sin esa contraseña, no hay cuenta (ni hay acceso a los datos), por lo que deberíamos esperar sí o sí al periodo de desactivación automática, que como he comentado más arriba son 45 días para Whatsapp y entre 1 mes y 1 año en el caso de Telegram (el propio usuario puede configurar el periodo de borrado por inactividad desde las opciones de seguridad)
En mi opinión, la activación del doble factor en estas aplicaciones (lo podéis hacer en menos de 1 minuto desde las opciones de seguridad) debería ser obligatoria por parte de la propia aplicación, pero mientras no sea así, os animo a activarlo ya mismo para añadir además una capa de seguridad a los múltiples casos en los que alguien con acceso a vuestro número (Smishing, Phishing, Ingenieria social…) podrían robaros la cuenta de Whatsapp o Telegram.
En el caso de que la pérdida del número sea controlada (tengamos premeditado el que vamos a darlo de baja), lo adecuado sería borrar previamente los datos de ambas aplicaciones (las dos tienen opción de eliminar cuenta) para no tener ni la más mínima opción de que nadie recupere nuestros datos. Además en el caso de que hayamos activado la doble autenticación, este paso sería el adecuado si vamos a dar de baja el número, para que la persona que lo «herede» pueda darse de alta correctamente y sin esperas en estas aplicaciones.
sudo shutdown – h now