En 2014, ante las advertencias de fallas de seguridad en WhatsApp, una aplicación relativamente nueva llamada Telegram se convirtió en una alternativa como cliente de mensajería instantánea. Telegram alegaba usar cifrado fuerte para sus intercambios de mensajes, y ofrecía una alternativa que faltaba en otras aplicaciones: la posibilidad de tener chats “seguros” o “secretos”, que no dejaban ningún rastro en sus servidores y se autodestruían después de cierto tiempo.

Inseguro por defecto

Durante meses, diversos especialistas en seguridad han manifestado que el cifrado de Telegram presenta fallas. Hace unos días, Edward Snowden hizo pública su preocupación con respecto a los protocolos de seguridad por defecto de Telegram.

El tema surge del hecho de que Telegram posee dos tipos de chats, uno llamado “de la nube”, que es el chat por defecto y la única manera en la cual se pueden tener conversaciones grupales, y el chat secreto. Los mensajes de conversaciones en la nube son cifrados con MTProto, un protocolo de código abierto desarrollado por Telegram de manera independiente y desde cero, lo cual ya es un gran “no” en materia de seguridad. Pero el verdadero problema surge del flujo de proceso de este cifrado:

telegram seguro

Esto significa que los mensajes son cifrados antes de enviarlos a los servidores de Telegram. Pero el problema, como señala Moxie Marlinspike, investigador de seguridad asociado a Open Whispersystems, ha dicho:

“Almacenado bajo cifrado fuerte” es [una expresión] intencionalmente engañoso. El texto cifrado almacenado junto a las llaves en texto plano es texto plano (…) Decir que los mensajes están “fuertemente cifrados” implica que están protegidos de alguna manera, pero no lo están, porque las llaves están almacenadas con ellos.

Incluso si el mensaje es almacenado cifrado, el servidor tiene la capacidad de descifrar el mensaje y leerlo como texto plano. Como señala Snowden:

Para ser claros, lo que importa es que el texto plano de los mensajes es accesible al servidor (o al proveedor delservicio), no si es “almacenado”.

Para Telegram, es necesario hacer que los mensajes sean accesibles en diferentes dispositivos y diferentes plataformas, por ejemplo la aplicación de escritorio, y ésta es la razón por la cual necesita almacenar las llaves en sus servidores. Sin embargo, la defensa que alega Telegram es que los datos cifrados y las llaves son almacenados en centros de datos diferentes.

Tomado de Internet y adaptado para nuestro Blog de Seguridad.

Anuncios