Descubierto un fallo grave de seguridad en Telegram

Software

Se ha descubierto una vulnerabilidad grave en la popular aplicación de mensajería rival de WhatsApp que afecta a la seguridad y privacidad de todos sus usuarios, pudiendo el atacante llegar a controlar la cuenta de un usuario. Los investigadores llevaban desde el pasado 7 de marzo estudiándola en secreto y avisaron a los desarrolladores de Telegram cuatro días después, pero hasta hoy no se había hecho pública.

Tal y como podemos leer en RedesZone, se ha descubierto un problema grave de seguridad en Telegram, la popular aplicación de mensajería instantánea que compite con WhatsApp por ser la más utilizada. Además de afectar a la seguridad, la vulnerabilidad afecta a la privacidad de los usuarios por lo que un hacker puede llegar a conseguir el control casi total de la cuenta del usuario, acceder a sus historiales, archivos y suplantar su identidad. Telegram presumía de tener mayor seguridad respecto a WhatsApp, pero con este descubrimiento ha quedado claro que cualquier software puede tener un fallo, ya sea grave o no. Los descubridores de la vulnerabilidad llevaban desde el pasado 7 de marzo investigando el error en secreto hasta que, cuatro días después, pusieron en conocimiento de los desarrolladores de Telegram el error descubierto y hace unas pocas horas se ha hecho pública.

telegram-fallo-grave

Un hacker puede llegar a controlar la cuenta de un usuario

La vulnerabilidad se encuentra en los mecanismos de autenticación entre el cliente y el servidor, y este mecanismo se puede ignorar de forma sencilla porque el servidor no verifica la legitimidad de las claves públicas de Telegram, por lo que si un hacker realiza un ataque aprovechándose de este error, puede llegar a conseguir el control de la cuenta del usuario, teniendo la posibilidad de acceder a su historial, archivos y suplantar su identidad. Cabe destacar que el cliente oficial desarrollado y mantenido por Telegram es seguro, ya que este problema solo afecta a los clientes no oficiales, pero es de vital importancia que los desarrolladores se encarguen de lanzar lo antes posible un parche que corrija el error y deben revisar el código porque es probable que puedan existir otros fallos. Además, no se pueden permitir tener errores en el apartado donde pretenden diferenciarse de la competencia, que no es otro que la seguridad.

¿Qué te parece este fallo grave de Telegram?

Escrito por Jorge Calderón

Fuente > ADSLZone

Continúa leyendo
Comentarios
26 comentarios
  1. Anónimo
    Usuario no registrado
    29 Abr, 14 6:24 pm

    El enlace de RedesZone me redirecciona a otra noticia de dicha web, concretamente a “Adobe Flash recibe una actualización que soluciona el fallo de IE”.

  2. Anónimo
    Usuario no registrado
    29 Abr, 14 6:28 pm

    Animo a los de Inteco a que participen en el concurso para encontrar exploits en el servicio Telegram.
    Que utilicen su PoC (Proof of Concept) y hagan un MITM.

  3. Anónimo
    Usuario no registrado
    29 Abr, 14 6:32 pm

    Creo que debéis de modificar el título del artículo y poner.

    “Descubierto un fallo grave de seguridad en Telegram no oficiales”

    Sino alarmáis de forma innecesaria.

    1. Anónimo
      Usuario no registrado
      01 May, 14 2:38 am

      De eso se trata, si no ni entraríamos en la noticia y volverían a ser una página de noticias seria. Son unos sensacionalistas de aúpa.

    2. Anónimo
      Usuario no registrado
      02 May, 14 12:45 am

      +1000

  4. Anónimo
    Usuario no registrado
    29 Abr, 14 7:15 pm

    No entiendo eso de “clientes no oficiales”. Si se refiere a los Telegram pirata, los desarrolladores del propio Telegram no tienen nada que rascar, es problema de la gente que se descarga apps de terceros que se pudieron modificar.

    Aun así, si cifran las consersaciones pero lo las comprueban… De que sirve?

    1. Anónimo
      Usuario no registrado
      30 Abr, 14 12:03 pm

      Es que el problema está en la API liberada por Telegram, para que los desarrolladores hagan sus propios clientes.

  5. Anónimo
    Usuario no registrado
    29 Abr, 14 7:33 pm

    Es una vergüenza de artículo. Si el fallo está en los programas clientes no oficiales entonces no es un problema de telegram.

  6. Anónimo
    Usuario no registrado
    29 Abr, 14 8:04 pm

    Jajajaja pero como se puede ser tan chapuzas redactando así la noticia para captar visitas xDDDD

  7. MALVOSX 29 Abr, 14 8:06 pm

    Soy yo, o huele a orina esta noticia.

    1. Anónimo
      Usuario no registrado
      30 Abr, 14 6:12 am

      Aquí huele a todo menos a colonia.

      Que verguenza de noticia. Titular apocaliptico y luego resulta que solo afecta a los no oficiales, ya os vale… cualquiera diría que quereis trolear a Telegram.

      Cambiar el título de la noticia por favor !

  8. Anónimo
    Usuario no registrado
    29 Abr, 14 8:46 pm

    No soy usuario de Telegram, pero no puedo estar más de acuerdo con los comentarios criticando la redacción de la noticia. Os tiráis todo el artículo hablando de Telegram, coml si fuese la oficial, y al final, ponéis el siguiente párrafo:

    “Cabe destacar que el cliente oficial desarrollado y mantenido por Telegram es seguro, ya que este problema solo afecta a los clientes no oficiales, pero es de vital importancia que los desarrolladores se encarguen de lanzar lo antes posible un parche que corrija el error y deben revisar el código porque es probable que puedan existir otros fallos. Además, no se pueden permitir tener errores en el apartado donde pretenden diferenciarse de la competencia, que no es otro que la seguridad.”

    El cual hace chirriar por los cuatro costados el resto del artículo, porque:
    1. No se trata de la aplicación oficial, sino otra desarrollada por vaya usted a saber quien y qué modificaciones puede haber hecho respecto a la original.
    2. No se pueden pedir mayor rigor a los desarrolladores de Telegram, ni criticar su seguridad (sea mejor o peor), cuando es una aplicación “pirata” ajena a ellos.

    Creo que deberíais de tener un poco, o bastante, más de rigor periodístico, porque la noticia tufa a algo, que no sé que será, pero desde luego no es noticia.

  9. Anónimo
    Usuario no registrado
    29 Abr, 14 9:21 pm

    sois el Sálvame de las ¿noticias? electrónicas ,
    son los comentarios los que mueven al personal,
    todavía no sé cómo me paso por aquí

    1. Anónimo
      Usuario no registrado
      30 Abr, 14 12:00 am

      pues por las risas que te hechas bien por las “noticias” o bien por los comentarios, sino a que vas a entrar aqui ¿por su calidad?

      1. Anónimo
        Usuario no registrado
        30 Abr, 14 12:04 am

        +1

      2. Anónimo
        Usuario no registrado
        30 Abr, 14 6:16 am

        xD

    2. Anónimo
      Usuario no registrado
      30 Abr, 14 12:04 am

      Entras porque es la única manera de conocer todos los rumores falsos de la actualidad. Las páginas de noticias suelen evitarlas o con suerte etiquetarlas de rumor, hasta que se confirmen, así que suele ser casi imposible leerlas en otros sitios.

      Aparte de los rumores falsos de gran calidad, encontrarás todo tipo de artículos sin importancia real, con fuentes no verificadas, sin fundamento científico, o inluso grandes series de míticas noticias que otros publicaron 5 meses atrás.

      Es por eso que entras.

      Eso sí, los comentarios siempre son lo mejor de lo mejor 😉

      1. Anónimo
        Usuario no registrado
        30 Abr, 14 7:59 am

        No puedo estar más de acuerdo.

      2. Anónimo
        Usuario no registrado
        30 Abr, 14 12:18 pm

        Gracias tío, tu comentario me anima a seguir entrando y a encontrarme con gente como tú,
        genial la respuesta que me/ nos has dado. 🙂

  10. Anónimo
    Usuario no registrado
    30 Abr, 14 8:25 am

    A ver si aprendemos a leer y a entender!!! Es cierto que afecta sólo a los clientes no oficiales, pero si se utilizan estos para acceder al servicio de forma fraudulenta, lo que falla es el servicio de Telegram. Si utilizo un cliente no oficial para acceder ilegalmente a la cuenta de otro usuario, da exactamente igual que ese usuario use o no el cliente oficial: su cuenta estará hackeada.

    1. Anónimo
      Usuario no registrado
      30 Abr, 14 10:35 am

      El que no sabe leer eres tú, para que te ataquen tienes que estar usando una aplicación no oficial, si usas la oficial estás seguro. Lo que tu entendiste de un hacker usando un cliente no oficial para acceder a tu cuenta es de chiste.

  11. Anónimo
    Usuario no registrado
    30 Abr, 14 11:57 am

    Desde el cambio de la web no se que está pasando pero adslzone va de mal a peor,las noticias que ponen la mitad no se corresponden con lo que dicen o son más falsas que un billete de 3 euros y eso se está viendo que antes cuando había una noticia por lo menos había 43 comentarios y ahora 3, 8, 12 .

    1. Anónimo
      Usuario no registrado
      30 Abr, 14 9:45 pm

      Pues yo diría que antes ocurría lo mismo. Todas eran erróneas. Aunque la fuente era más pequeña y cabían más comentarios en el mismo espacio, jejeje

    2. Anónimo
      Usuario no registrado
      30 Abr, 14 9:47 pm

      O puede ser que la gente no sepa sumary restar para poder rellenar la casilla del “challenge”

  12. Anónimo
    Usuario no registrado
    30 Abr, 14 12:08 pm

    A ver chicos. El fallo está en la API que Telegram liberó para que los desarrolladores hagan sus propios clientes de mensajería. Al menos así lo he entendido yo, leyendo los artículos de otras webs.

    Creo que aquí no han estado nada afortunados con la redacción de la noticia.

    1. Anónimo
      Usuario no registrado
      30 Abr, 14 6:08 pm

      100 % de acuerdo contigo. Tu comentario es exactamente lo que pasa. No obstante, algo debe estar mal programado en esa API si permite una mala utilizacion en aspectos de seguridad. O Telegram construye una API más sólida, o que desaconseje el uso de clientes no oficiales (o que “congele” su API y no la libere hasta que esté muy testada). Coger fama de insegura una aplicacion cuyo punto fuerte (respecto a whatsapp) es la seguridad le puede hacer bajar muchos enteros