Introducción
Tchap, la aplicación de mensajería instantánea desarrollada por la Dirección Interministerial del Digital de Francia (DINUM), nació con una promesa sólida: ofrecer a los funcionarios públicos franceses un canal de comunicación soberano, auditado por la ANSSI (la agencia nacional de ciberseguridad francesa) y basado en el protocolo abierto Matrix con cifrado de extremo a extremo. En septiembre de 2025, su despliegue se había generalizado a toda la administración central. Sin embargo, a principios de junio de 2026, un atacante exfiltró los datos de 73 467 cuentas —aproximadamente el 9 % de la base de usuarios— sin necesidad de vulnerar en ningún momento el cifrado.
El protocolo seguro, eludido sin ser atacado
El atacante no intentó romper la criptografía. Recurrió a la ingeniería social para comprometer una cuenta de usuario legítima y obtener así acceso autenticado a la plataforma. Una vez dentro, el robo se ejecutó desde las salas públicas de Tchap que, al contrario que las conversaciones privadas, no cuentan con cifrado de extremo a extremo. El resultado: cerca de 650 000 mensajes, junto con nombres, correos electrónicos, afiliaciones organizativas y metadatos de 73 467 agentes fueron exfiltrados, acompañados de 13,5 GB de documentos y archivos compartidos en esos espacios abiertos.
El incidente reveló una vulnerabilidad adicional, independiente del ataque inicial: credenciales LDAP encontradas en texto plano dentro de un script de PowerShell compartido en una sala pública. Esas credenciales, aparentemente depositadas por un responsable de TI de una delegación regional, constituían una puerta de entrada directamente explotable, sin requerir ninguna sofisticación técnica.
La ANSSI detectó la intrusión el 7 de junio. La DINUM bloqueó de inmediato la cuenta comprometida y notificó a la CNIL, la autoridad francesa de protección de datos. Las conversaciones privadas cifradas permanecieron inaccesibles para el atacante. Pero el daño sobre los datos compartidos en abierto ya estaba consumado.
La brecha entre arquitectura segura y despliegue real
Tchap ilustra un problema estructural que los equipos de seguridad conocen bien, pero que se subestima con demasiada frecuencia en los despliegues a gran escala: la robustez de la arquitectura no garantiza la seguridad del uso cotidiano. Los diseñadores habían hecho bien su trabajo: protocolo abierto y auditable, cifrado robusto para los intercambios privados, infraestructura alojada en nube soberana. Sin embargo, la plataforma se desplegó entre una población muy heterogénea sin que los comportamientos de seguridad fueran homogéneos: sensibilización insuficiente frente al phishing y la manipulación social, mala gestión de secretos en scripts compartidos, y datos sensibles depositados en salas públicas no cifradas por falta de una distinción clara entre los dos tipos de espacios.
Confundir la certificación de un producto con la seguridad de su despliegue es un error que no cometen únicamente las administraciones públicas.
Tres palancas que el incidente Tchap vuelve a poner sobre la mesa
Para cualquier organización que despliegue una mensajería colaborativa —soberana, SaaS u on-premise— el caso Tchap señala tres imperativos operativos:
- Segurización de cuentas y accesos: una sola cuenta comprometida bastó para abrir la brecha. La autenticación multifactor robusta y la detección conductual de conexiones anómalas no son opcionales.
- Gestión rigurosa de secretos: unas credenciales en un script compartido a través de una sala de mensajería constituyen un error elemental de seguridad. Las políticas de gestión de secretos deben cubrir todos los canales internos, incluidas las herramientas colaborativas.
- Clasificación de los espacios de comunicación: no todos los canales de una misma plataforma ofrecen las mismas garantías de confidencialidad. Concienciar a los usuarios sobre esta distinción —y restringir lo que puede compartirse en salas públicas— es imprescindible desde el primer día del despliegue.
La soberanía técnica es una condición necesaria, no suficiente. Lo que le ocurrió a Tchap puede golpear a cualquier organización que subestime el factor humano frente a una arquitectura, por bien diseñada que esté.