Telegram es va erigir en el seu naixement com l’aplicació de missatgeria instantània més segura del mercat. Va aterrar en un moment en què el xifratge d’extrem a extrem (E2EE) no era un element intrínsec d’aquesta mena de plataformes, i ha consolidat aquesta imatge gràcies a polítiques com l’emmagatzematge de dades en centres de dades distribuïts arreu del món i emparats per jurisdiccions diferents. Però no és or tot el que lluu i la detenció del propietari i CEO de la plataforma, Pavel Durov, ha sembrat dubtes al voltant de la xarxa entre els usuaris que l’han utilitzat fins al moment.

El xifratge de les dades consisteix en l’ús d’algoritmes per transformar la informació de text estàndard a un format il·legible amb unes claus que només es troben en mans dels usuaris implicats. Aquesta via suposa anar una passa endavant cap al xifratge en trànsit, més simple i que consisteix en una codificació en l’extrem del remitent, però que passa per un procés de descodificació un cop arriba al servidor on queda desat el contingut. Llavors, es torna a xifrar i, finalment, el receptor l’obre amb la seva clau. És a dir, pot haver-hi espionatge en el procés d’emmagatzematge, perquè només queda protegida la fase de la transmissió.

L’E2EE codifica la informació des de l’origen fins al final, sense descodificació i ni una segona encriptació, com sí que passa en el xifratge en trànsit

De líder a quedar enrere

Si Telegram s’havia erigit en una eina segura per l’E2EE, ara és un element que li juga a la contra. “Aquí ens trobem amb una gran confusió”, alerta l’advocat expert en dret digital i divulgador del canal Tech and Law, Eduard Blasi, “Telegram va aparèixer com una alternativa amb un punt fort en tot el que fa a la privacitat i la seguretat en un moment en què WhatsApp tenia mancances en aquest aspecte”. I és que el xifratge d’extrem a extrem s’aplica avui dia també a Signal, Facebook Messenger, iMessage, Line o Google Messages, com a exemples. Però no a totes és un sistema de seguretat en la totalitat de les converses que s’hi registren, com passa a Telegram. La plataforma russa només garanteix aquesta codificació en els anomenats xats secrets, però no en els intercanvis d’informació convencionals o en els grups.

“Ni Telegram és l’aplicació més segura, ni és una alternativa millor a WhatsApp en privacitat”, insisteix l’expert. “WhatsApp es va posar les piles i ho ha fet molt bé. Ara podem veure un missatge que alerta que la conversa està xifrada cada cop que obrim un xat nou. Fins i tot, diuen que el mateix WhatsApp no pot llegir el que enviem”, continua. Malgrat que ambdues són de les plataformes més utilitzades, Blasi esmenta dues opcions que són més garanties: Signal i Threema.

“Ni Telegram és l’aplicació més segura, ni és una alternativa millor a WhatsApp en privacitat”

La primera és la triada per Edward Snowden per a ús personal i es va dissenyar amb uns estàndards de seguretat que també marcaven distàncies del que hi havia disponible al mercat en el llançament. El xifratge d’extrem a extrem que empra es basa en un protocol propi i això ha fet que països com la Xina, els Emirats Àrabs o la Xina en bloquegin l’ús per considerar l’app com a massa segura. La mateixa companyia explica al seu web que la privacitat, per a ells, “no és opcions, és com funciona Signal”. En el cas de Threema, es tracta d’una app de pagament de codi obert, encriptada d’extrem a extrem i que no utilitza cap número de telèfon ni informació d’identificació personal com altres propostes. “Va ser abanderada per l’agència de protecció de dades d’Alemanya, perquè compleix estrictament amb el marc normatiu de la Unió Europea en termes de protecció de dades”, comenta Blasi.

Allau de sancions, diferents respostes

Malgrat que hi ha un ampli camp de millora per conferir a Telegram de la seguretat i privacitat que reclamen els usuaris, l’advocat considera que el seu principal entrebanc ha estat la cooperació amb les autoritats: “Quan existeix una ordre judicial per identificar supòsits i delictes, normalment, les companyies cooperen. Google, Meta i altres, davant d’aquests casos, faciliten la informació necessària per resoldre-ho. Telegram, ara com ara, no ho ha fet. S’ho ha trobat França, però també el Brasil, que va suspendre l’aplicació el 2023 per no col·labora”.

L’aplicació de missatgeria electrònica de Meta també se les ha vist, però per altres qüestions. El 2013, les autoritats de control holandès i canadenca van acusar-la de violar la privacitat dels usuaris per l’obligació de permetre l’accés a l’agenda de contactes per identificar altres persones que utilitzaven WhatsApp. El principal problema és que la plataforma emmagatzemava els números en comptes d’esborrar-los després de fer les comprovacions pertinents. Un altre cas destacat, i més proper, es correspon a les sancions de 300.000 euros imposades el 2018 per l’Agència Espanyola de Protecció de Dades a WhatsApp i Facebook per l’intercanvi d’informació. “Tot i que s’ha trobat enmig de casos importants, sempre ha col·laborat. Fos com a Meta o fos com a WhatsApp, Facebook o Instagram, quan no era tot una mateixa empresa”, compara Blasi.

Els anteriors casos s’han relacionat amb episodis de vulneració de la privacitat, però la companyia també ha topat amb entrebancs vinculats a la seguretat. “Al principi, sabíem que tenia servidors a Virgínia i a Washington, als Estats Units, i que no hi havia plenes garanties en l’intercanvi d’informació, amb un atac poc sofisticat es podia interceptar el contingut”, relata l’especialista, “en un moment en què l’aplicació anava calant, veies vulnerabilitats importants i es va posar el crit al cel”. Això va donar un camp ampli per recórrer a Telegram, que va aprofitar el context per llançar la seva proposta.

El Reglament General de Protecció de Dades i la Llei de Serveis Digitals són els responsables de l’enduriment de les mesures de seguretat i privacitat instaurades per les apps

A Europa, les empreses de serveis digitals només poden accedir a les converses si es denuncia una situació d’assetjament o vulneració d’algun dret. La notificació permet a la plataforma entrar a la conversa i verificar l’episodi assenyalat, però un cop es tanca la incidència, preval de nou la privacitat.

Construint l’entorn de privacitat

Al llarg dels anys, l’aprovació del Reglament General de Protecció de Dades i, més recentment, la Llei de Serveis Digitals han imposat un nou terreny de joc. Sumar-s’hi no ha estat voluntari, sinó obligatori, però no ha estat l’únic detonant per veure la implementació, entre altres, del xifratge d’extrem a extrem a les aplicacions de missatgeria electrònica. Segons Blasi, en el cas de WhatsApp, ha estat una qüestió reputacional: “Calia evitar estendre que no era una app segura. Era necessari per netejar la imatge de la marca i la identitat, i ha aconseguit posar-se per davant de Telegram”.

Principalment, les millores que han anat incorporant les empreses de serveis digitals tenen a veure amb la privacitat. El marc normatiu és restrictiu i això ha fet, per a Blasi, que hi hagi companyies que no fan el salt a la UE. “Si ofereixes una app gratuïta, hi ha determinats costos que l’empresa ha de sufragar o gestionar. La informació té un valor molt elevat, però la seva disponibilitat és limitada a Europa, i aquí és on venen els problemes d’ús, gestió i intercanvi d’informació perquè els negocis puguin sobreviure”, detalla, i afegeix que el fet d’operar en un territori que ha anat canviant i endurint el marc legal no és “senzill per consolidar del model”.

Encara que s’han vist salts qualitatius, el divulgador del canal Tech and Low té clar que encara hi ha “un llarg gamí per recórrer”. “Sovint calen permisos addicionals per a certs serveis, i es notifica i s’obté el permís, però aquí també entra la visió de cada regulador. Això genera problemes a escala mediàtica, perquè fan posar en dubte molt sovint els mecanismes. Anem a base de situacions reals, de crear precedents i anar veient què es pot permetre i què no”, explica.