AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Protección de datos

### Comparativa de privacidad y recolección de datos en WhatsApp, Discord, Snapchat, Facebook Messenger y Telegram

admin

#### Introducción

En un entorno digital cada vez más regulado y vigilado, especialmente tras la entrada en vigor del RGPD en Europa y la proliferación de marcos normativos como la NIS2, la privacidad y la protección de datos personales se han convertido en aspectos críticos para usuarios y organizaciones. Las aplicaciones de mensajería instantánea —WhatsApp, Discord, Snapchat, Facebook Messenger y Telegram—, ampliamente adoptadas tanto a nivel personal como profesional, presentan diferencias significativas en sus políticas de privacidad, configuración y volumen de datos recopilados. Este artículo analiza en profundidad estos aspectos para proporcionar una visión técnica, actualizada y relevante para profesionales de la ciberseguridad.

#### Contexto del Incidente o Vulnerabilidad

El auge del teletrabajo y la multiplicidad de canales de comunicación han puesto en el punto de mira la seguridad y privacidad de las plataformas de mensajería. Incidentes recientes, como filtraciones masivas de datos en Facebook (abril de 2021) o vulnerabilidades críticas en aplicaciones de mensajería cifrada, han puesto de manifiesto los riesgos inherentes al uso de estas soluciones, tanto para usuarios particulares como para empresas sujetas a normativas estrictas de protección de datos (p.ej., GDPR, NIS2).

#### Detalles Técnicos

A continuación, se comparan los cinco servicios analizados según sus características técnicas, configuración de privacidad y volumen de datos recolectados:

**WhatsApp**
– **Cifrado:** Extremo a extremo (E2EE) por defecto para mensajes y llamadas (protocolo Signal).
– **Datos recolectados:** Metadatos extensos (números de teléfono, contactos, información de dispositivo, direcciones IP, datos de uso, ubicación).
– **Privacidad:** Opciones para ocultar última vez, foto de perfil, confirmaciones de lectura y grupos.
– **Recopilación**: WhatsApp comparte datos con Meta/Facebook, aunque en la UE está limitado por el RGPD.
– **TTP MITRE ATT&CK:** TA0009 (Collection), T1087 (Account Discovery), T1114 (Email Collection).
– **Versiones afectadas:** No exploits públicos recientes, pero el historial incluye CVE-2019-11931 (buffer overflow).

**Discord**
– **Cifrado:** Solo en tránsito (TLS); no E2EE.
– **Datos recolectados:** Información de usuario, mensajes, direcciones IP, identificadores de dispositivos, datos de comportamiento, contenido multimedia.
– **Privacidad:** Configuración granular de privacidad en servidores y mensajes directos; no permite eliminar completamente todos los mensajes históricos.
– **Recopilación**: Amplio para análisis y moderación, con retención prolongada.
– **TTP MITRE ATT&CK:** T1041 (Exfiltration Over C2 Channel), T1566 (Phishing).
– **Exploits conocidos:** Historial de abuso de bots y malware distribuidos a través de enlaces y archivos adjuntos.

**Snapchat**
– **Cifrado:** Parcial; mensajes y fotos no están cifrados de extremo a extremo por defecto.
– **Datos recolectados:** Geolocalización, contactos, información de dispositivo, interacciones, contenido multimedia.
– **Privacidad:** Mensajes autodestructivos, pero almacenamiento temporal en servidores; amplios permisos por defecto.
– **Recopilación:** Uso intensivo para publicidad segmentada.
– **TTP MITRE ATT&CK:** T1110 (Brute Force), T1078 (Valid Accounts).
– **Incidentes:** Fugas de datos y explotación de APIs para extracción masiva de información.

**Facebook Messenger**
– **Cifrado:** Solo en chats “Secretos” (E2EE opcional, protocolo Signal); por defecto, cifrado solo en tránsito.
– **Datos recolectados:** Enorme volumen: lista de contactos, grafo social, mensajes, interacciones, ubicaciones, datos de dispositivo.
– **Privacidad:** Opciones granulares, pero la cantidad de datos recolectados es la mayor entre las plataformas analizadas.
– **Recopilación:** Integración total con el ecosistema Facebook/Meta.
– **TTP MITRE ATT&CK:** T1041, T1114; frecuente uso en campañas de phishing y malware (incl. exploits vía enlaces maliciosos).
– **Versiones afectadas:** Varias vulnerabilidades históricas (p.ej., CVE-2018-1054).

**Telegram**
– **Cifrado:** E2EE solo en “Chats secretos” (MTProto); por defecto, cifrado cliente-servidor.
– **Datos recolectados:** Menos que la media: número de teléfono, contactos, ID de usuario, dirección IP.
– **Privacidad:** Chats secretos con autodestrucción, control sobre sesiones activas; opciones de privacidad avanzadas.
– **Recopilación:** No vende datos, pero retiene metadatos para análisis y mitigación de abuso.
– **TTP MITRE ATT&CK:** T1027 (Obfuscated Files), T1102 (Web Service).
– **Exploits conocidos:** Uso como canal de C2 (Comando y Control) en campañas de malware.

#### Impacto y Riesgos

Las diferencias en el cifrado y la gestión de datos tienen un impacto directo en la superficie de ataque, cumplimiento normativo y exposición al riesgo:

– **GDPR y NIS2:** WhatsApp y Messenger, al compartir datos con Meta, pueden suponer riesgos de cumplimiento. Telegram y Discord, con servidores fuera de la UE, presentan desafíos adicionales en jurisdicción y cumplimiento.
– **Riesgos empresariales:** La falta de E2EE por defecto (Discord, Messenger, Telegram) implica que un compromiso de servidor puede filtrar comunicaciones críticas.
– **Ataques conocidos:** Uso frecuente de Messenger y Discord como vectores para campañas de phishing y distribución de malware (Cobalt Strike, Metasploit, etc.).

#### Medidas de Mitigación y Recomendaciones

– **Cifrado extremo a extremo:** Priorizar plataformas que lo habiliten por defecto.
– **Gestión de metadatos:** Minimizar el uso de aplicaciones que recolecten grandes volúmenes de datos personales y de uso.
– **Políticas de uso:** Limitar el uso de canales no corporativos para comunicaciones sensibles; implementar DLP y monitorización en entorno corporativo.
– **Configuración de privacidad:** Revisar y restringir permisos, especialmente en dispositivos móviles y acceso a contactos.
– **Actualizaciones y parches:** Mantener aplicaciones actualizadas para mitigar vulnerabilidades conocidas.

#### Opinión de Expertos

Especialistas en ciberseguridad coinciden en que la privacidad real depende tanto de las capacidades técnicas de la plataforma como del modelo de negocio. “Si el producto es gratis, el usuario es el producto”, subraya Manuel Fernández, CISO de una empresa del IBEX 35. El uso corporativo de apps con servidores fuera de la UE o sin E2EE “es un riesgo innecesario en entornos regulados”, añade Laura Gómez, consultora de privacidad.

#### Implicaciones para Empresas y Usuarios

Para entornos corporativos y sectores críticos, la selección de aplicaciones de mensajería debe considerar el cumplimiento normativo y la protección efectiva de las comunicaciones. Las empresas deberían evaluar soluciones con E2EE por defecto, control granular de datos y servidores en la UE.

Para usuarios particulares, es recomendable revisar regularmente los ajustes de privacidad y entender las implicaciones de compartir datos con terceros, especialmente en aplicaciones ligadas a grandes plataformas publicitarias.

#### Conclusiones

La comparativa revela que, si bien todas las aplicaciones analizadas ofrecen algún grado de privacidad configurable, existen diferencias sustanciales en el cifrado, la cantidad de datos recolectados y la exposición a riesgos regulatorios y de seguridad. La elección de una aplicación de mensajería debe basarse en una evaluación informada de estos factores, priorizando siempre el cifrado de extremo a extremo y el mínimo acceso a datos personales, especialmente en contextos profesionales y regulados.

(Fuente: www.kaspersky.com)