Lo Último

.

.

lunes, 28 de diciembre de 2015

¿Es Telegram tan seguro como se cree?

En 2014, ante las advertencias de fallas de seguridad en WhatsApp, una aplicación relativamente nueva llamada Telegram se convirtió en una alternativa como cliente de mensajería instantánea. Telegram alegaba usar cifrado fuerte para sus intercambios de mensajes, y ofrecía una alternativa que faltaba en otras aplicaciones: la posibilidad de tener chats "seguros" o "secretos", que no dejaban ningún rastro en sus servidores y se autodestruían después de cierto tiempo.

Inseguro por defecto

Durante meses, diversos especialistas en seguridad han manifestado que el cifrado de Telegram presenta fallas. Hace unos días, Edward Snowden hizo pública su preocupación con respecto a los protocolos de seguridad por defecto de Telegram.
El tema surge del hecho de que Telegram posee dos tipos de chats, uno llamado "de la nube", que es el chat por defecto y la única manera en la cual se pueden tener conversaciones grupales, y el chat secreto. Los mensajes de conversaciones en la nube son cifrados con MTProto, un protocolo de código abierto desarrollado por Telegram de manera independiente y desde cero, lo cual ya es un gran "no" en materia de seguridad. Pero el verdadero problema surge del flujo de proceso de este cifrado:
Esto significa que los mensajes son cifrados antes de enviarlos a los servidores de Telegram. Pero el problema, como señala Moxie Marlinspike, investigador de seguridad asociado a Open Whispersystems, ha dicho:
"Almacenado bajo cifrado fuerte" es [una expresión] intencionalmente engañoso. El texto cifrado almacenado junto a las llaves en texto plano es texto plano (...) Decir que los mensajes están "fuertemente cifrados" implica que están protegidos de alguna manera, pero no lo están, porque las llaves están almacenadas con ellos.
Incluso si el mensaje es almacenado cifrado, el servidor tiene la capacidad de descifrar el mensaje y leerlo como texto plano. Como señala Snowden:
Para ser claros, lo que importa es que el texto plano de los mensajes es accesible al servidor (o al proveedor del servicio), no si es "almacenado".
Para Telegram, es necesario hacer que los mensajes sean accesibles en diferentes dispositivos y diferentes plataformas, por ejemplo la aplicación de escritorio, y ésta es la razón por la cual necesita almacenar las llaves en sus servidores. Sin embargo, la defensa que alega Telegram es que los datos cifrados y las llaves son almacenados en centros de datos diferentes.

Recompensa de 200 mil dólares

Como respuesta a las preocupaciones de la comunidad de ciberseguridad, Telegram respondió con un concurso de criptografía, alegato que suele ser la respuesta estándar de los defensores de la aplicación que no comprenden los fallos de seguridad: que nadie ha ganado la recompensa de 200 mil dólares ofrecida por Telegram a quienes pudieran romper su cifrado. No obstante, como Marlinspike señala, la manera en la que el concurso está enfocado significa que no enfrenta las dudas y preocupaciones que han sido planteadas. El concurso de Telegram no plantea posibilidades de un ataque man-in-the-middle, entre otros posibles ataques o fallas de seguridad. Al ser irrompible en los términos en que está planteado, es usado como prueba de que el protocolo es irrompible, lo que es una falacia lógica.
El chat secreto de Telegram (basado en MTProto) está cifrado de extremo a extremo, y las llaves de cifrado son almacenadas por los participantes de la conversación. Por esta razón, sólo está disponible en el dispositivo donde iniciaste esa conversación, y no se sincroniza con otros dispositivos. Sin embargo, esto es una decisión de diseño, y no es intrínsecamente indispensable, ya que Signal hace poco liberó su beta para escritorio y ésta sincroniza los mensajes cifrados. Por otra parte, en la actualidad Telegram no es especialmente más seguro que, por ejemplo, las conversaciones entre dos personas en WhatsApp, que usan cifrado de punto a punto.
Sea como sea, si tienes algún motivo para requerir que tu mensajería sea realmente privada y segura, la mejor alternativa en la actualidad es Signal, actualmente disponible para iOS y Android y en su versión beta de escritorio. Signal cifra todos los mensajes enviados a través de su red -individuales, de grupo, y llamadas de voz- si todos los usuarios involucrados están utilizando la aplicación.