Software

¿Es Telegram tan seguro como crees?

Por 24/12/15 - 00:36

Alerta de spoiler: no.

¿Es Telegram tan seguro como crees?

Actualización: como parte del derecho a réplica, dejamos los comentarios de Telegram sobre este artículo al final del mismo.

En 2014, ante las advertencias de fallas de seguridad en WhatsApp, una aplicación relativamente nueva llamada Telegram se convirtió en una alternativa como cliente de mensajería instantánea. Telegram alegaba usar cifrado fuerte para sus intercambios de mensajes, y ofrecía una alternativa que faltaba en otras aplicaciones: la posibilidad de tener chats "seguros" o "secretos", que no dejaban ningún rastro en sus servidores y se autodestruían después de cierto tiempo.

Inseguro por defecto

Durante meses, diversos especialistas en seguridad han manifestado que el cifrado de Telegram presenta fallas. Hace unos días, Edward Snowden hizo pública su preocupación con respecto a los protocolos de seguridad por defecto de Telegram.

El tema surge del hecho de que Telegram posee dos tipos de chats, uno llamado "de la nube", que es el chat por defecto y la única manera en la cual se pueden tener conversaciones grupales, y el chat secreto. Los mensajes de conversaciones en la nube son cifrados con MTProto, un protocolo de código abierto desarrollado por Telegram de manera independiente y desde cero, lo cual ya es un gran "no" en materia de seguridad. Pero el verdadero problema surge del flujo de proceso de este cifrado:

telegram seguro

Esto significa que los mensajes son cifrados antes de enviarlos a los servidores de Telegram. Pero el problema, como señala Moxie Marlinspike, investigador de seguridad asociado a Open Whispersystems, ha dicho:

"Almacenado bajo cifrado fuerte" es [una expresión] intencionalmente engañoso. El texto cifrado almacenado junto a las llaves en texto plano es texto plano (...) Decir que los mensajes están "fuertemente cifrados" implica que están protegidos de alguna manera, pero no lo están, porque las llaves están almacenadas con ellos.

Incluso si el mensaje es almacenado cifrado, el servidor tiene la capacidad de descifrar el mensaje y leerlo como texto plano. Como señala Snowden:

Para ser claros, lo que importa es que el texto plano de los mensajes es accesible al servidor (o al proveedor del servicio), no si es "almacenado".

Para Telegram, es necesario hacer que los mensajes sean accesibles en diferentes dispositivos y diferentes plataformas, por ejemplo la aplicación de escritorio, y ésta es la razón por la cual necesita almacenar las llaves en sus servidores. Sin embargo, la defensa que alega Telegram es que los datos cifrados y las llaves son almacenados en centros de datos diferentes.

¿Y qué hay de la recompensa de 200 mil dólares?

telegram seguro

Como respuesta a las preocupaciones de la comunidad de ciberseguridad, Telegram respondió con un concurso de criptografía, alegato que suele ser la respuesta estándar de los defensores de la aplicación que no comprenden los fallos de seguridad: que nadie ha ganado la recompensa de 200 mil dólares ofrecida por Telegram a quienes pudieran romper su cifrado. No obstante, como Marlinspike señala, la manera en la que el concurso está enfocado significa que no enfrenta las dudas y preocupaciones que han sido planteadas. El concurso de Telegram no plantea posibilidades de un ataque man-in-the-middle, entre otros posibles ataques o fallas de seguridad. Al ser irrompible en los términos en que está planteado, es usado como prueba de que el protocolo es irrompible, lo que es una falacia lógica.

El chat secreto de Telegram (basado en MTProto) está cifrado de extremo a extremo, y las llaves de cifrado son almacenadas por los participantes de la conversación. Por esta razón, sólo está disponible en el dispositivo donde iniciaste esa conversación, y no se sincroniza con otros dispositivos. Sin embargo, esto es una decisión de diseño, y no es intrínsecamente indispensable, ya que Signal hace poco liberó su beta para escritorio y ésta sincroniza los mensajes cifrados. Por otra parte, en la actualidad Telegram no es especialmente más seguro que, por ejemplo, las conversaciones entre dos personas en WhatsApp, que usan cifrado de punto a punto.

Sea como sea, si tienes algún motivo para requerir que tu mensajería sea realmente privada y segura, la mejor alternativa en la actualidad es Signal, actualmente disponible para iOS y Android y en su versión beta de escritorio. Signal cifra todos los mensajes enviados a través de su red -individuales, de grupo, y llamadas de voz- si todos los usuarios involucrados están utilizando la aplicación.

Derecho a réplica

Telegram se puso en contacto con nosotros por este artículo, aquí reflejamos sus argumentos:

  1. Es importante mencionar que las claves para los datos de chats en la nube están almacenados en una ubicación física diferente y en una jurisdicción diferente para cada centro de datos en particular, por tanto intrusos físicos o ingenieros locales no pueden acceder a ellas.

  2. Sólo la primera de las competencias de Telegram es mencionada en el artículo. Nuestra segunda competencia fue enfocada completamente en los chats secretos y entregó a los atacantes todas las herramientas necesarias para ataques MiTM.

  3. Telegram es, definitivamente, más segura que WhatsApp, tal como se ha anunciado:

  • WA es de código cerrado. No hay manera de asegurar que tu aplicación no está enviando los mensajes en texto plano a alguna parte. Los clientes de Telegram son de código abierto, por lo que cualquiera puede ver, exactamente, cómo es manejado el cifrado en los dispositivos.

  • El servidor de WA controla qué chats utilizan el cifrado end-to-end y cuáles no. Pueden apagarlo cuando ellos quieran. En Telegram los usuarios pueden elegirlo y pueden estar seguros que el chat secreto es cifrado end-to-end.

  • Los chats de WA no están protegidos contra ataques MiTM de ninguna manera. No hay autenticación. En Telegram los usuarios pueden comparar la visualización de las claves y estar seguros que ningún ataque MiTM está ocurriendo.

  1. Sobre el desarrollo de nuestra solución desde cero: las “mejores prácticas” que son avaladas por criptógrafos estadounidenses, han resultado ser varias veces puertas traseras patrocinadas por la NSA. Nos sentimos más seguros desarrollando nuestras propias soluciones basados en un enfoque original, con la ayuda y vigilancia entregada por la comunidad internacional de especialistas en seguridad, fans y personas que no nos quieren tanto, también.

Hasta hoy, el único problema real del protocolo de Telegram fue identificado y prontamente arreglado durante la primera competencia de Telegram a finales de 2013. El usuario que lo descubrió fue recompensado con un premio de $100.000 dólares, a pesar que su descubrimiento estaba fuera del alcance de la competencia. Agradecemos cualquier comentario sobre nuestra implementación en [email protected]

Comenta sobre este y otros temas en nuestra comunidad

Puedes entrar con tu cuenta de Facebook, Twitter, Google o LinkedIn

Usamos cookies propias y de terceros para mejorar la experiencia. Si sigues navegando estás aceptando nuestra política de cookies