Aparece un problema grave de seguridad en Telegram

Escrito por Rubén Velasco
Seguridad
5

Telegram es un cliente de mensajería instantánea muy similar a WhatsApp pero semi-open-source, el decir, la parte del cliente es código abierto, aunque todo lo relacionado con el servidor trabaja a través de una API y no se ha abierto el código de ello en ningún momento. Una de las características principales de las que presumía Telegram respecto a WhatsApp era de ofrecer una seguridad muy por encima que su rival pero, al igual que ocurre con todas las piezas de software, tarde o temprano se acaban descubriendo vulnerabilidades que comprometen la seguridad de sus usuarios.

En esta ocasión se ha descubierto una vulnerabilidad grave que afecta a la seguridad y privacidad de todos los usuarios de Telegram. La vulnerabilidad en cuestión se encuentra en los mecanismos de autenticación entre cliente y servidor. Este mecanismo puede ser fácilmente ignorado debido a que el servidor no verifica la legitimidad de las claves públicas de Telegram y, por lo tanto, un atacante puede conseguir el control casi completo de la cuenta de un usuario, acceder a sus historiales, archivos y suplantar completamente su identidad de cara al servidor.

Los investigadores que han descubierto esta vulnerabilidad llevan investigándola en secreto desde el día 7 de marzo, fecha en la que se notaron los primeros indicios de ella. El pasado día 11 de marzo, estos investigadores presentaron la vulnerabilidad con los informes correspondientes a los desarrolladores de Telegram y, hace pocas horas, finalmente se ha hecho pública esta vulnerabilidad.

telegram_auth_mitm_dump

Sin duda, esta vulnerabilidad es un fallo muy grande debido probablemente a un despiste por parte de los desarrolladores. En las próximas versiones no oficiales de Telegram esta vulnerabilidad seguramente sea solucionada y la seguridad de este cliente de mensajería se restablezca, aunque si ha aparecido un fallo como este es probable que en poco tiempo aparezcan nuevos fallos que comprometan la seguridad de los usuarios.

Debemos recordar que esta vulnerabilidad únicamente afecta a los clientes no oficiales, quedando el cliente oficial desarrollado y mantenido por Telegram seguro. Si Telegram de verdad quiere implantarse como una alternativa segura a WhatsApp deberá revisar y reforzar su seguridad tanto en su cliente oficial como en los no oficiales.

¿Qué opinas de esta vulnerabilidad en Telegram? ¿Crees que si el servidor hubiera sido OpenSource podría haberse evitado?

Fuentes: Seclists Inteco PDF Inteco


Noticias relacionadas

Comentarios


5 comentarios
  1. luismg 29 Abr, 14 10:11

    Todo lo que quede en un servidor no es seguro, las comunicaciones cifradas punto a punto no son cómodas, enviar una foto y hasta que el otro no esté conectado no la pueda descargar es incómodo pero ahí reside la seguridad. BBM al poder

    Responder
    0
    1. OMFG 29 Abr, 14 12:58

      Telegram permite conexiones cifradas punto a punto.

      Responder
      0
      1. luismg 29 Abr, 14 17:32

        no por defecto

        Responder
        0
    2. AlbertoAru 29 Abr, 14 20:36

      Según he mirado en internet, BBM es centralizado, no es P2P.

      Responder
      0
  2. AlbertoAru 29 Abr, 14 20:36

    Todo lo que sea cerrado pasa factura, lo mejor es usar jabber/XMPP o P2P con clientes abiertos.

    Responder
    0