Telegram no es tan seguro como aparenta ser

Escrito por Rubén Velasco
Seguridad

Telegram está causando una gran revolución en la red. Para aquellos que no lo conozcan, es un cliente de mensajería, clon de WhatsApp pero medio OpenSource (el cliente está abierto pero el servidor no). Dispone de bastantes ventajas frente a WhatsApp, una mayor seguridad, es gratuito, funciones de chat seguras, etc. Según los desarrolladores, Telegram es una aplicación muy segura y prácticamente imposible de romper pero ¿esto es realmente así o es una excusa para ganar usuarios?

Telegram utiliza un algoritmo desarrollado por sus investigadores y, según afirman en su FAQ, es mucho más seguro que los algoritmos utilizados por otras plataformas como WhatsApp o Line. Esto es cierto, especialmente teniendo en cuenta la debilidad del algoritmo de WhatsApp, aunque no es tan seguro como sus desarrolladores afirman.

El protocolo que utilizan es MTProto. Este protocolo está desarrollado, como afirman, por un grupo de matemáticos (que no son criptógrafos) pertenecientes al propio grupo de desarrollo de Telegram. Una ventaja (o inconveniente) es que este protocolo es OpenSource, por lo que se pueden analizar sus características fácilmente para saber hasta qué punto llega su seguridad.

¿En qué se basa la arquitectura de Telegram?

Toda la red de Telegram se basa en disponer de varios servidores repartidos alrededor del mundo y conexiones de enrutamiento entre los clientes. Esto asegura aleatoriedad y dificultad a la hora de intentar interceptar los mensajes. Sin embargo, la autenticación y el cifrado únicamente se realiza entre cliente y servidor (y no utiliza TLS), no entre ambos clientes. El cifrado se realiza entre ambos clientes, pero sin autenticación por lo que puede permitir que, de cara al servidor, se lleven a cabo ataques MITM y tener acceso así a los contenidos de los mensajes.

mtproto_encryption_telegram_foto

Todos aquellos que utilicen Telegram deberán “confiar en el servidor”. No sabemos absolutamente nada sobre este, sus interconexiones ni su sistema de almacenamiento de datos ya que no han facilitado el código fuente de este. No sabemos qué ocurre dentro y, en caso de que se lance un ataque MITM contra este, no tendremos conocimiento de ello en ningún momento.

En qué se basa el protocolo de red de Telegram

El protocolo de red consta de 2 partes: intercambio de claves y comunicación.

El intercambio de claves se utiliza para registrar el dispositivo en el servidor. TLS es un protocolo algo lento y complicado de implementar (aunque es lo más seguro), por ello, los desarrolladores desarrollaron su propio algoritmo. Este algoritmo exige tres idas y vueltas de datos utilizando RSA, AES-IGE y Diffie-Hellman, junto con una prueba de seguridad procesada en los dispositivos (para evitar ataques DoS).

A continuación se crea la clave. AES-IGE no es un cifrado autenticado, por lo que Telegram no verifica la integridad de la misma. Para el cifrado de texto se utiliza SHA1 simple almacenado como texto plano. La clave DH se almacena (probablemente en texto plano ya que no tenemos acceso al código fuente del servidor) en el cliente y en el servidor como texto plano.

Conclusión

Aunque Telegram es bastante más seguro que WhatsApp, también tiene sus puntos débiles. Los desarrolladores han intentado dar muchas vueltas para, finalmente, terminar ofreciendo una seguridad mas bien baja, aunque superior a la media.

El hecho de no liberar el código impide saber con certeza qué ocurre con nuestros datos allí ni la seguridad que utiliza. Telegram aún sigue en desarrollo, por lo que es posible que con el tiempo se mejoren estos aspectos y lleguen a ofrecer una seguridad realmente alta. Por el momento, la seguridad continuará siendo un punto débil del nuevo cliente de mensajería instantánea que tanto está dando que hablar en los últimos días.

¿Qué opinas de Telegram?

Fuente: unhandledexpression


Continúa leyendo
  • Gracias por compartir esto, la única alternativa libre es XMPP o Jabber
    http://www.reddit.com/r/es/comments/1wd6ke/whatsapp_y_skype_se_vienen_abajo_para_volver_a_su/
    PD: No estaría mal que quitarais los post sobre Telegram o advirtierais en ellos, un saludo.

    • OMFG

      XMPP/Jabber (son lo mismo) no son válidos para mensajería móvil.

      • Ya sé que son lo mismo. Eso de que no son válidos para mensajería
        movil de donde lo has sacado? Hay clientes para ios, android…
        http://xmpp.org/xmpp-software/clients/

      • drymer

        En que te basas para decir eso? Porque xabber y chatsecure, por ejemplo, son clientes de xmpp para móvil…

      • luismg

        Cisco Jabber funciona bajo XMPP y si tienen cliente de android y iphone.
        Aunque lo mejor es no fiarse de nadie y punto. El unico que era fiable era BBM y en india accedieron a poder hacer man in the middle en los mensajes de BBM para hacer un contrato con el gobierno.

  • Jota

    Con todos mis respetos al editor, me parece la aplicación medianamente “entendible” más segura del mercado… Creo que sería peor que liberaran el código fuente del servidor, ya que podría servir para detectar las vulnerabilidades y atacar en consecuencia…
    Sigo pensando que esta aplicación es el futuro y me sorprende la carencia de ventajas que encuentro en este artículo… ¿Qué hay de la función de los chats seguros que, según ellos, te permite enviar archivos compartidos que NO PASAN POR EL SERVIDOR?
    Un saludo y gracias por su trabajo.

    • drymer

      Liberar el código fuente del servidor es absolutamente necesario para que se detecten vulnerabilidades y se arreglen. Siendo cerrado, esto no es posible.
      Btw, si te interesa la criptografia, lo que acabas de decir es una blasfemia. Vulnera uno de los principios de K.erckhoff, uno de los más importantes.

  • OMFG

    Leyendo los comentarios de ese blog lo único que puedo decir es que hay multitud de personas troleando en contra de Telegram.

  • Pingback: Telegram no es tan seguro como aparenta ser | Libuntu()

  • ciberdiego

    Si según tú es tan inseguro deberías intentar “hackearlo” y llevarte el dinero que ofrecen.

  • Pingback: Telegram no es tan seguro como aparenta ser()

  • Jon Burrows
  • Jon Burrows

    $200,000 to the hacker who can break Telegram: https://telegram.org/crypto_contest

  • Pingback: ¿Es tan seguro Telegram como promete?()

  • Midass

    Lo que le faltaba decir es que Whatsapp es casi tan seguro que TELEGRAM y
    que por tanto no merece la pena usar este otro. Que no se sabe nada de
    los servidores de Telegram es el gran inconveniente que nos hace
    desconfiar de él (claro) como todos sabemos. Todos el mundo tiene acceso
    a la información de los servidores y de la tecnología que utilizan ahí,
    en
    todos los sistemas (claro) para que podamos atacarlos más fácilmente
    (ironic mode offffff). En fin el artículo más interesado que he leído
    sobre telegram.
    Atacar la seguridad por el desconocimiento de los servidores. Esperaban que les
    dieran las llaves del garaje también.

  • Pingback: Telegram no es tan seguro como aparenta ser - F403mx()