La Agencia de Asuntos Digitales del Gobierno Francés (DINUM) emitió recientemente un aviso de seguridad afirmando que los piratas informáticos invadieron con éxito la plataforma de comunicación cifrada interna Tchap del gobierno francés al secuestrar una cuenta de usuario legítima, lo que puede haber resultado en un acceso no autorizado a la información personal compartida por algunos usuarios en la conversación.
Tchap fue desarrollado conjuntamente por la Agencia de Asuntos Digitales del Gobierno francés y la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) de Francia en 2018. Se basa en el protocolo Matrix descentralizado y se posiciona como una herramienta de oficina colaborativa y de mensajería instantánea al servicio del sector público francés. Sólo está abierto a usuarios del sistema de servicios públicos. La aplicación ha seguido creciendo desde su lanzamiento y ahora cuenta con más de 300.000 usuarios activos mensuales en el sector público francés y ha sido descargada más de 500.000 veces en Google Play Store. A principios de agosto de 2025, el primer ministro francés, François Bayrou, emitió un aviso exigiendo a todos los servidores públicos que utilizaran Tchap en las comunicaciones oficiales y prohibió el uso de aplicaciones de comunicación de fabricantes extranjeros, ampliando así significativamente el alcance de uso y la capacidad de carga de datos de la plataforma.
DINUM reveló en un comunicado de prensa emitido el lunes que ANSSI detectó por primera vez un comportamiento de intrusión anormal en la plataforma Tchap el domingo. Luego de una investigación preliminar, se confirmó que el atacante ingresó al sistema a través de la cuenta comprometida de un usuario, obteniendo así acceso a la plataforma de comunicación cifrada. Después del incidente, DINUM informó del incidente de seguridad al regulador francés de protección de datos CNIL porque los atacantes pueden haber accedido o exportado los datos personales compartidos por algunos usuarios en el chat. Al mismo tiempo, DINUM también emitió un recordatorio a todos los usuarios de Tchap, enfatizando que las salas de chat públicas de la plataforma están abiertas a cualquier usuario registrado y que el contenido de dichas salas públicas no tiene habilitada la protección de cifrado.
DINUM declaró que bloqueó la cuenta específica desde la cual se originó la solicitud maliciosa y la prohibió inmediatamente después de descubrir el problema para cortar el canal de acceso continuo del atacante y crear condiciones para un análisis en profundidad posterior de su alcance de acceso y posible fuga de datos. La investigación actual aún está en curso y el equipo técnico está realizando una comparación detallada de los registros de eventos para determinar a qué sesiones ha accedido el atacante, así como el tipo y alcance de los datos que pueden haberse transmitido. Los funcionarios también reiteraron que no se debe compartir información personal, sensible o confidencial en las salas de chat públicas de Tchap, y dicho contenido debe comunicarse únicamente en salas de chat privadas, lo cual es un requisito claro en los términos de uso de la plataforma.
Aunque DINUM no ha revelado más detalles técnicos, un atacante tomó la iniciativa de reivindicar el incidente durante el fin de semana y publicó una muestra de archivos supuestamente robados de Tchap, alegando que obtuvo acceso a la plataforma después de realizar un ataque de ingeniería social. El atacante afirmó que "obtuvo acceso a una cuenta válida en el fragmento educativo (matrix.agent.education.tchap.gouv.fr) a través de ingeniería social" y enfatizó que los datos expuestos eran solo el contenido accesible para esta única cuenta, y que puede haber más datos en otros fragmentos.
Según su propio relato, en este ataque obtuvieron credenciales LDAP que se sospechaba que estaban codificadas en el script. Estas credenciales supuestamente provenían de un script de PowerShell compartido por un director regional del departamento fiscal francés. Además, los atacantes afirmaron haber exportado más de 13,5 GB de documentos y archivos multimedia desde la plataforma Tchap, que fueron cargados y compartidos por funcionarios públicos franceses en su uso diario. Afirmó además que capturaron casi 650.000 registros de mensajes e información relacionada de más de 73.000 cuentas, incluidos elementos confidenciales como direcciones de correo electrónico de usuarios, información de afiliación, enlaces a reuniones y metadatos de cuentas y dispositivos.
En términos de detalles técnicos, los atacantes también afirmaron que la arquitectura de Tchap tiene un defecto grave: "todos los archivos que se han compartido en cualquier fragmento de la plataforma se pueden descargar sin un token". Según él, una vez que se obtiene el contenido del mensaje que contiene la URL del medio, el ID del medio se puede utilizar para descargar directamente el archivo correspondiente sin autenticación, sin estar restringido por el fragmento en el que se encuentra. En la actualidad, DINUM no ha confirmado oficialmente las vulnerabilidades técnicas específicas ni la escala de datos mencionadas anteriormente. BleepingComputer envió una consulta a DINUM sobre esto, pero no ha recibido respuesta al momento de esta edición.
Vale la pena señalar que apenas el mes pasado, Francia notificó y arrestó a un adolescente sospechoso de 15 años, acusado de vender datos robados de la agencia francesa de documentos de seguridad nacional ANTS (la agencia nacional responsable de la emisión y gestión de documentos oficiales de identidad y registro). El caso surgió a raíz de un ciberataque a ANTS en abril de este año, tras el cual los atacantes vendieron datos robados en foros clandestinos, lo que despertó una gran preocupación en la sociedad. El actual incidente de intrusión de Tchap pone de relieve una vez más los complejos desafíos de seguridad de la red que enfrenta el sector público francés en el proceso de transformación digital. También impone mayores requisitos a la gestión de la seguridad de las cuentas, el control de acceso y las estrategias de cifrado de datos para la plataforma de comunicación interna del gobierno.