Telegram es un cliente de mensajería instantánea muy similar a WhatsApp pero semi-open-source, el decir, la parte del cliente es código abierto, aunque todo lo relacionado con el servidor trabaja a través de una API y no se ha abierto el código de ello en ningún momento. Una de las características principales de las que presumía Telegram respecto a WhatsApp era de ofrecer una seguridad muy por encima que su rival pero, al igual que ocurre con todas las piezas de software, tarde o temprano se acaban descubriendo vulnerabilidades que comprometen la seguridad de sus usuarios.
En esta ocasión se ha descubierto una vulnerabilidad grave que afecta a la seguridad y privacidad de todos los usuarios de Telegram. La vulnerabilidad en cuestión se encuentra en los mecanismos de autenticación entre cliente y servidor. Este mecanismo puede ser fácilmente ignorado debido a que el servidor no verifica la legitimidad de las claves públicas de Telegram y, por lo tanto, un atacante puede conseguir el control casi completo de la cuenta de un usuario, acceder a sus historiales, archivos y suplantar completamente su identidad de cara al servidor.
Los investigadores que han descubierto esta vulnerabilidad llevan investigándola en secreto desde el día 7 de marzo, fecha en la que se notaron los primeros indicios de ella. El pasado día 11 de marzo, estos investigadores presentaron la vulnerabilidad con los informes correspondientes a los desarrolladores de Telegram y, hace pocas horas, finalmente se ha hecho pública esta vulnerabilidad.
Sin duda, esta vulnerabilidad es un fallo muy grande debido probablemente a un despiste por parte de los desarrolladores. En las próximas versiones no oficiales de Telegram esta vulnerabilidad seguramente sea solucionada y la seguridad de este cliente de mensajería se restablezca, aunque si ha aparecido un fallo como este es probable que en poco tiempo aparezcan nuevos fallos que comprometan la seguridad de los usuarios.
Debemos recordar que esta vulnerabilidad únicamente afecta a los clientes no oficiales, quedando el cliente oficial desarrollado y mantenido por Telegram seguro. Si Telegram de verdad quiere implantarse como una alternativa segura a WhatsApp deberá revisar y reforzar su seguridad tanto en su cliente oficial como en los no oficiales.
¿Qué opinas de esta vulnerabilidad en Telegram? ¿Crees que si el servidor hubiera sido OpenSource podría haberse evitado?
Fuentes: Seclists – Inteco – PDF Inteco