Por Canuto  

Francia investiga una intrusión en Tchap, la plataforma de mensajería usada por funcionarios públicos, después de que un atacante accediera mediante una cuenta comprometida. Aunque las autoridades sostienen que los chats privados cifrados no fueron vulnerados, el incidente reabre preguntas sobre la exposición de datos en salas públicas y sobre los riesgos de la ingeniería social dentro de sistemas estatales.

***

  • DINUM y ANSSI detectaron el incidente el 7 de junio y bloquearon de inmediato la cuenta usada en la intrusión.
  • Francia afirma que los chats privados con cifrado de extremo a extremo no fueron comprometidos, pero advierte sobre salas públicas sin cifrado.
  • Un actor de amenaza asegura haber obtenido 73.467 cuentas, 643.459 mensajes y 13,51 GB de archivos, aunque esas cifras no han sido verificadas.

 

Las autoridades francesas confirmaron una violación de seguridad en Tchap, la plataforma de mensajería utilizada por ministerios, agencias y funcionarios del sector público, luego de que un atacante obtuviera acceso mediante el secuestro de una cuenta de usuario. El incidente fue detectado el 7 de junio por la Agencia Nacional de Ciberseguridad de Francia, ANSSI, y abrió una investigación para establecer el alcance real del acceso y los datos potencialmente expuestos.

Tchap fue desarrollada en 2018 por la Dirección Interministerial de Asuntos Digitales, DINUM, en colaboración con ANSSI. La plataforma funciona sobre el protocolo descentralizado Matrix y fue concebida como una alternativa soberana frente a servicios extranjeros de mensajería, con el objetivo de mantener las comunicaciones del Estado bajo infraestructura gestionada por Francia.

La relevancia de Tchap aumentó con fuerza en el último año. A comienzos de agosto de 2025, el primer ministro François Bayrou ordenó el uso de Tchap para las comunicaciones laborales de todos los funcionarios públicos y prohibió las aplicaciones extranjeras en ese contexto. Desde entonces, el servicio alcanzó más de 300.000 usuarios mensuales y superó las 500.000 descargas en Google Play Store.

En este contexto, la intrusión golpea a una plataforma que ya se había convertido en un componente clave de la estrategia digital del Estado francés. También pone en primer plano una tensión frecuente en ciberseguridad: incluso cuando la infraestructura está diseñada con criterios soberanos y cifrado robusto, una sola cuenta comprometida puede abrir la puerta a información que no estaba correctamente restringida.

Qué ocurrió y cómo respondió el gobierno francés

DINUM informó que ANSSI detectó actividad sospechosa el domingo 7 de junio y que la investigación inicial confirmó una violación de seguridad vinculada con la suplantación o compromiso de una cuenta. Según la entidad, la cuenta desde la cual se originaron las solicitudes maliciosas ya fue identificada y bloqueada para cortar el acceso persistente del atacante.

En su comunicado, DINUM indicó que los equipos especializados continúan revisando registros de eventos para determinar a qué conversaciones pudo acceder el intruso y qué tipo de información pudo haber sido exfiltrada. La entidad también notificó a la autoridad francesa de protección de datos, la CNIL, ante la posibilidad de exposición de datos personales compartidos por algunos usuarios en conversaciones accesibles desde la cuenta comprometida.

Las autoridades francesas enviaron además un recordatorio a todos los usuarios de Tchap. El mensaje subraya que las salas de chat públicas pueden ser encontradas y unidas por cualquier usuario de la plataforma, y que su contenido no está cifrado. En consecuencia, información personal, sensible o confidencial no debe intercambiarse en esos espacios, sino solo en chats privados.

Este punto es crucial para entender la postura oficial. Francia sostiene que las conversaciones privadas protegidas con cifrado de extremo a extremo no fueron afectadas por el incidente. En otras palabras, el acceso logrado por el atacante habría estado limitado a lo que una cuenta válida podía ver en salas públicas y a recursos asociados a ese alcance, no al contenido de chats privados cifrados.

Las afirmaciones del atacante y el debate sobre el alcance real

Aunque la versión oficial describe una afectación acotada, un actor de amenaza se atribuyó la responsabilidad del incidente durante el fin de semana y difundió una muestra de archivos presuntamente robados. Según su relato, el acceso se obtuvo mediante ingeniería social contra una cuenta vinculada al entorno educativo de Tchap, identificado como matrix.agent.education.tchap.gouv.fr.

El atacante afirmó haber reunido un volumen mucho mayor de información del que el gobierno ha reconocido por ahora. Entre sus alegatos figuran 73.467 cuentas de usuario, 643.459 mensajes, 876 salas de chat con historial, 59.386 archivos multimedia por un total de 13,51 GB, además de nombres de empleados públicos, correos electrónicos oficiales, afiliaciones ministeriales, enlaces de reuniones y metadatos de cuentas y dispositivos.

También aseguró haber obtenido credenciales LDAP codificadas que, según su versión, quedaron expuestas a través de un script de PowerShell compartido por un director regional de la autoridad fiscal francesa. Otra afirmación especialmente delicada indica que existían referencias a documentos marcados como “Diffusion Restreinte”, una clasificación gubernamental francesa de distribución restringida.

Sin embargo, esas cifras y descripciones no han sido verificadas de forma independiente. Las autoridades francesas no confirmaron ni el volumen ni la naturaleza de los datos que el actor asegura poseer. Hasta ahora, la comunicación oficial solo reconoce una brecha asociada a una cuenta comprometida y la posibilidad de acceso a conversaciones públicas no cifradas.

El punto técnico que más inquieta: archivos y medios compartidos

Entre las declaraciones atribuidas al atacante hay una que podría tener implicaciones técnicas relevantes para el diseño de la plataforma. El actor sostuvo que cada archivo compartido en Tchap, sin importar el shard o segmento donde estuviera alojado, podía descargarse sin necesidad de un token, siempre que se contara con la URL o el identificador del medio obtenido desde un mensaje.

De acuerdo con ese planteamiento, una vez que se localizaba un mensaje con una referencia a un archivo multimedia, el recurso podía extraerse libremente, incluso desde otros shards. Si esa afirmación fuera precisa, el incidente no solo sería un caso de secuestro de cuenta, sino también una señal de posibles debilidades en el control de acceso a archivos compartidos dentro de la arquitectura de Tchap.

Por ahora, no hay confirmación oficial sobre ese supuesto comportamiento. DINUM no compartió detalles técnicos adicionales y, según BleepingComputer, no respondió de inmediato a preguntas enviadas sobre el incidente. Esa falta de precisión deja abierto el debate sobre si se trató únicamente de un abuso de privilegios legítimos desde una cuenta comprometida o si hubo fallas adicionales en la gestión de medios y permisos.

Para observadores del sector tecnológico y de ciberseguridad, el caso ilustra un patrón repetido: la protección criptográfica de las conversaciones privadas puede resultar insuficiente si la higiene operativa en áreas públicas, archivos compartidos y gestión de identidades no acompaña con el mismo rigor. En entornos gubernamentales, esa diferencia entre lo cifrado y lo simplemente accesible puede tener consecuencias políticas y regulatorias relevantes.

Por qué importa este caso más allá de Francia

La brecha en Tchap no solo afecta a una herramienta interna. También toca un debate más amplio sobre soberanía tecnológica, seguridad institucional y confianza en plataformas públicas de comunicación. Francia había promovido Tchap como una alternativa nacional a servicios de mensajería extranjeros, justamente para reducir riesgos estratégicos y mantener el control sobre datos sensibles del Estado.

El incidente no invalida por sí solo ese enfoque, pero sí demuestra que la soberanía tecnológica no elimina amenazas como la ingeniería social, el robo de cuentas o la exposición de información en canales mal configurados. El eslabón más débil puede seguir estando en la operación diaria, en los hábitos de los usuarios y en los controles alrededor de los espacios públicos de colaboración.

Además, la investigación ocurre en un momento de atención elevada sobre la seguridad de las instituciones francesas. El mes pasado, las autoridades detuvieron a un menor de 15 años sospechoso de vender datos robados en un ciberataque de abril contra ANTS, la agencia encargada de emitir y gestionar documentos oficiales de identidad y registro en el país.

Por ahora, la principal incógnita sigue siendo cuánta información logró ver o extraer realmente el atacante en Tchap. Mientras DINUM y ANSSI avanzan con el análisis forense, el caso deja una advertencia clara para gobiernos y grandes organizaciones: contar con cifrado de extremo a extremo en ciertos canales no impide que una cuenta comprometida convierta las áreas públicas y los archivos compartidos en una superficie de riesgo crítica.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

 


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados