Si usas Nekogram como cliente alterno de Telegram en Android, desinstálalo ahora mismo.
Se acaba de descubrir que esta aplicación, una de las más recomendadas en Reddit como alternativa a la app oficial de Telegram, tiene código malicioso inyectado que roba tu número de teléfono y tu ID de usuario, y los envía sin tu consentimiento a bots de Telegram.
Recomendados por el editor:
¿Qué es Nekogram y por qué tanta gente lo usa?
Nekogram es un cliente de terceros para Telegram en Android, algo así como lo que es WhatsaBerry para WhatsApp: una versión modificada de la app oficial con funciones extra que el original no trae. Opciones como usar tu avatar como fondo del menú lateral, personalizar el tamaño de los stickers, mostrar carpetas en la página de reenvío, pausar videos automáticamente al cambiar de app, traducir mensajes con distintos motores de traducción… cosas que, honestamente, no me parecen tan impresionantes como para abandonar la app oficial de Telegram.
Pero es tremendamente popular. Reddit lo recomendaba con frecuencia dentro de hilos sobre alternativas a Telegram o clientes alternativos para Android. Hasta ahora.
El problema: código malicioso en los APKs distribuidos
El problema es que, aunque el código fuente publicado en GitHub está limpio, el desarrollador inyectó el código malicioso directamente en los APKs que distribuye, tanto en Google Play Store como en GitHub.
Es decir, quien revise el repositorio no va a encontrar nada raro. El problema está en el binario que te descargas e instalas. Ese APK captura el número de teléfono que tienes vinculado a tu cuenta de Telegram y lo filtra hacia bots externos, todo sin que el usuario se entere ni lo autorice.
Los fines exactos de esa recopilación se desconocen, pero ya el hecho de que lo hagan a escondidas dice mucho.
Lo peor no es el robo, es la forma
Con Telegram al menos sabes a qué atenerte: recopilan datos, la política de privacidad lo deja más o menos claro. No es ideal, pero es transparente. Aquí el desarrollador de Nekogram lo hace por la puerta trasera, sin avisarte, sin pedirte permiso, sin ninguna justificación.
Eso es lo que marca la diferencia entre una app que no te gusta y una que directamente te traiciona.
La lección aquí es simple
Antes de instalar cualquier cliente alterno de Telegram para Android —o de cualquier otra app, para el caso— vale la pena preguntarse si las funciones adicionales justifican el riesgo. En este caso, claramente no. O al menos es lo que yo pienso.
Si necesitas descargar Telegram para Android, ve directo a la fuente oficial: telegram.org o Google Play Store. La app oficial puede no tener todas las opciones de personalización de terceros, pero al menos no te roba el número de teléfono en silencio (o quizá algo más) y quien sabe con qué fines.
Esta es una buena razón para empezar a compilar por tu propia cuenta el APK desde GitHub o la fuente, si es un proyecto open source. No puedes confiar ciegamente en el archivo instalable que te ofrece el desarrollador a través de Play Store o su página web. Y es razón también para no desactivar Google Play Protect cada que instalas apps, sin estar seguro de su orígen.
Referencias: Reddit
Deja un comentario