Telegram NO es tan seguro como podría creer…
Una buena mayoría de personas utilizan Telegram, principalmente porque piensan que es la plataforma de mensajería instantánea más segura. El efecto de red tiene algo que ver con su popularidad también. Sin embargo, si está usando Telegram porque es seguro, debe seguir leyendo esto, porque Telegram podría NO ser tan seguro como creemos.
Durante meses, diversos especialistas en seguridad han manifestado que el cifrado de Telegram presenta fallas. Edward Snowden por ejemplo; hizo pública su preocupación con respecto a los protocolos de seguridad por defecto de Telegram.
Para explicar, Telegram posee dos tipos de chats, uno llamado “de la nube”, que es el chat por defecto y la única manera en la cual se pueden tener conversaciones grupales, y el chat secreto. Los mensajes de conversaciones en la nube son cifrados con MTProto, un protocolo de código abierto desarrollado por Telegram de manera independiente y desde cero, lo cual ya es un gran “NO” en materia de seguridad. Pero el verdadero problema surge del flujo de proceso de este cifrado. Esto significa que los mensajes son cifrados antes de enviarlos a los servidores de Telegram.
Pero el problema, como señala Moxie Marlinspike, investigador de seguridad asociado a Open Whispersystems, ha dicho:
La expresión “Almacenado bajo cifrado fuerte” es intencionalmente engañosa. El texto cifrado almacenado junto a las llaves en texto plano es texto plano (…)
Decir que los mensajes están “fuertemente cifrados” implica que están protegidos de alguna manera, pero no lo están, porque las llaves están almacenadas con ellos. Incluso si el mensaje es almacenado cifrado, el servidor tiene la capacidad de descifrar el mensaje y leerlo como texto plano.
Como señala Snowden: Para ser claros, lo que importa es que el texto plano de los mensajes es accesible al servidor (o al proveedor del servicio), no si es “almacenado”.
Para Telegram, es necesario hacer que los mensajes sean accesibles en diferentes dispositivos y diferentes plataformas, por ejemplo la aplicación de escritorio, y ésta es la razón por la cual necesita almacenar las llaves en sus servidores. Sin embargo, la defensa que alega Telegram es que los datos cifrados y las llaves son almacenados en centros de datos diferentes. En fin, a veces asumimos que las personas en situaciones comprometedoras o posiciones críticas son buenas tendencias para la seguridad de la información.
Según sabemos Telegram fue desarrollado en el año 2013 por los hermanos Nikolai y Pavel Durov, pero no entraremos en los detalles y por qué debe o no debe confiar en ellos. Después de todo, un principio general en la seguridad de la información es “no confiar en nadie”.
Como experto en cifrado y/o criptografía, sé lo suficiente para detectar retórica y falacias. Establecer que la criptografía y el cifrado en su núcleo no son acerca de fe, jurisdicciones o leyes, sino que todo se reduce a las matemáticas.
Pavel Durov puede decir que “Telegram es seguro” y la prensa puede citarlo ciegamente, pero hasta que muestre todo su trabajo lo que tenemos es su palabra.
La línea roja con Telegram es el hecho de que decidieron inventar su propio algoritmo de encriptación interno. Cualquier persona en la industria sabe que el desarrollo de su propia encriptación no es sólo una mala idea, sino además irresponsable y peligrosa.
Debido a todas las razones por las que usted no debe utilizar Telegram en lo que respecta a la seguridad, debemos agragar que todos los demás servicios de mensajería están basados en un protocolo de código abierto llamado “Signal Protocol” de Open Whisper Systems.
El protocolo está construido sobre los algoritmos de cifrado estándar de la industria que han sido probados durante años o incluso décadas y revisados por algunas de las personas más inteligentes del mundo.
Muchos de los usuarios de Telegram creen que se están comunicando con sus contactos bajo una plataforma cifrada, cuando en realidad no es así, no se han percatado de que tienen que configurar una opción adicional en el menú de ajustes para esto.
Alan Woodward, profesor de la Universidad de Surrey criticó a Telegram por su falta de transparencia al no especificar que usan un protocolo de cifrado hecho en casa:
“Actualmente no conocemos lo suficiente para saber realmente si es seguro o no lo es. Y ese es el problema de mantener al público a oscuras en cuanto a sus prácticas de seguridad. Es común que los criptógrafos y desarrolladores de herramientas dedicadas a la seguridad compartan sus algoritmos y protocolos, pero en este caso estamos a oscuras por completo. Y la realidad es que a menos que tengas una experiencia considerable en cuanto a seguridad, no deberías desarrollar tu propio cifrado. Y nadie entiende por qué Telegram hizo esto. Cuando expertos de todo el mundo alaban los protocolos de seguridad que usan plataformas como Signal y WhatsApp, en realidad no hay necesidad de que crees tu propio cifrado. Esto es algo básico en materia de seguridad informática, no hay necesidad de crear algo nuevo cuando ya existe algo que funciona bien y ha sido auditado muchas veces”.
Woodward también comentó que la aplicación puede filtrar bastantes metadatos, lo que coincide con el descubrimiento de un investigador de seguridad a inicios de este año de que un atacante malicioso podía averiguar cuándo un usuario estuvo conectado en la aplicacion y cuándo no, lo que podría ayudarles a determinar con quién estás hablando cuando usas Telegram
Igualmente Matthew Green, profesor de criptografía para la Universidad Johns Hopkins, comentó en una entrevista con el Daily Dot el año pasado:
“Básicamente inventaron su propio protocolo. Según lo que dicen en su página web, tenían a algunos matemáticos trabajando en ello quea unque no eran criptógrafos sí que eran brillantes, y crearon su propio protocolo. Es bastante loco, y no es algo que un criptógrafo habría hecho. Sin embargo, no estoy seguro de que no funcione su protocolo, simplemente fue algo extraño.”
Estas son las razones por las que sugerimos al inicio que Telegram podría NO ser tan seguro como creemos.
