¿Es tan seguro Telegram como promete?

¿Es tan seguro Telegram como promete?

Lucas Cruz

Después de dos días situándose entre los Trending Topic de Twitter en España, pocos quedarán por conocer qué es Telegram. El nuevo cliente de mensajería instantánea que quiere plantar cara a WhatsApp tiene en la seguridad uno de sus puntos fuertes según los creadores de la aplicación, una medida que ha recibido grandes elogios por los usuarios, pero, ¿es tan seguro Telegram como promete?

Según podemos leer en la propia cuenta de Telegram en la red social de los 140 caracteres, casi 200.000 nuevos usuarios cada día se están apuntando a la nueva tendencia en nuestro país, y subiendo. Un crecimiento brutal. Ayer mismo nos preguntábamos si Telegram formaría parte de una moda pasajera o si realmente suponía una amenaza para el trono de WhatsApp, podéis pasaros y dejad vuestra opinión al respecto.

Hoy queremos analizar una de las principales ventajas que el cliente ruso, la seguridad. Entre otras novedades que incorporan, los creadores primero y por consiguiente los usuarios después, ensalzan la gran labor de la aplicación a la hora de implementar un protocolo de seguridad eficaz para disuadir los posibles espionajes. Los compañeros de RedesZone han estudiado los sistemas de cifrado que se pueden leer en la web oficial y han respondido a la pregunta de si es realmente tan seguro como aparenta.

mtproto_encryption_telegram_foto-655x491

El protocolo utilizado se denomina MTProto, un protocolo propio desarrollado por un grupo de matemáticos que forma parte del equipo de Telegram. La arquitectura se basa en el principio de servidor distribuido, es decir, cuentan con varios servidores repartidos alrededor del mundo, esto permite dificultar en gran medida la intercepción de mensajes.

Tanto la autenticación como el cifrado se realizan entre cliente y servidor, no entre dos clientes que quieran iniciar una conversación y no hace uso del protocolo TLS. Entre ambos clientes o usuarios se lleva a cabo otro cifrado pero esta vez sin autenticación por lo que facilita a los atacantes el intentar con éxito un ataque MITM (Man In The Middle), es decir, un hacker podría interceptar la información intercambiada para leer e incluso modificar los mensajes.

Además, todo el sistema depende de una cosa: los usuarios que utilicen Telegram deberán confiar en el servidor, ya que poco se sabe acerca de éste. Aunque los hermanos Durov, ampliamente conocimos por VK, segunda red social con más usuarios en Europa y responsables de Telegram, han comunicado que el código de éste se liberará poco a poco.

El protocolo de red por su parte se basa en 2 partes bien diferenciadas. En primer lugar el intercambio de claves. Dejando de lado como hemos dicho antes TLS, han optado por un algoritmo propio que consta de 3 pasos en las que utilizan RSA, AES-IGE y Diffie-Hellman terminando con una prueba de seguridad que prevenga de ataques DoS (Denegación de servicio).

cifrado3

La segunda parte es la comunicación, para el cifrado de los mensajes se utiliza SHA1 que se almacena como texto plano. La clave DH se almacena tanto en cliente como en servidor, posiblemente también en texto plano aunque no lo sabremos hasta que se libere el código del servidor.
La conclusión es sencilla. Telegram es mucho más seguro que WhatsApp, pero no es tan seguro como dicen. Existen puntos débiles que posiblemente se mejoren con el tiempo y si el número de usuarios sigue creciendo, seguramente esto ocurra pronto. Pero no se puede decir que sea un sistema de seguridad fácil de romper, ni mucho menos.

Tan seguro está de ello Pavel Durov, que incluso se aventura a ofrecer 200.000 dólares a la primera persona capaz de romper el protocolo de cifrado de Telegram a modo de concurso. Así que si os creéis capaces, podéis acceder a la propia web dónde se explica con más detalle cómo participar y los requisitos que se piden para dar por válido el resultado de aquel usuario que lo logre.