Seguridad

Descubierto un fallo de seguridad en la ‘app’ de mensajería Telegram

Descubierto un fallo de seguridad en la ‘app’ de mensajería Telegram
Escrito por Manuela Astasio

Inteco asegura que el hecho de que la API sea abierta facilita que los atacantes accedan a las cuentas de sus víctimas pasando totalmente desapercibidos.

No es tan fiero el león como lo pintan. Tampoco la aplicación de mensajería instantánea Telegram, considerable rival, para muchos, de WhatsApp, es tan segura y privada como presume. El Instituto Nacional de Tecnologías de la Comunicación (Inteco) acaba de emitir un informe en el que, aunque admite que la app rusa cuenta con un grado de seguridad superior al de sus competidoras, describe la relativa facilidad con la que un atacante puede acceder a las cuentas de Telegram de terceros.

En un informe titulado Telegram: sorteando el protocolo de autenticación, el experto en ciberseguridad Jesús Díaz Vico señala que en Telegram resulta “muy fácil” para un atacante obtener acceso total a la cuenta de sus víctimas “pasando casi totalmente desapercibido”.

Hackers experimentados podrían tener acceso y control sobre todo lo que sus víctimas envían y reciban a través de Telegram, una situación que no solo las afectaría a ellas, sino también a quienes se comunican con ellas.

Además, este fallo de seguridad también afecta a los chats secretos o cifrados, una de las principales bazas de Telegram, ya que, al abrir iniciar una conversación de estas características, Telegram envía una notificación a todos los dispositivos en los que está instalado el cliente. El hacker podría, así, aceptar el chat en su terminal, cerrándolo en el de la víctima. En su web oficial, Telegram presume de sus chats secretos como una opción para los usuarios “más paranoicos”, en la que las conversaciones están encriptadas de emisor a receptor y no dejan huella ni tan siquiera en los servidores de la aplicación.

¿Cuáles son los agujeros de Telegram?

Que estos ataques sean posibles en Telegram, indica el estudio, se debe a varios motivos. En primer lugar, este tipo de agresiones son viables porque la API de Telegram es abierta. Los responsables de la aplicación explican, en el apartado de FAQ de su web, que “cualquiera puede consultar nuestro código fuente, nuestro protocolo de seguridad y nuestra API para decidir, de manera informada, si quiere utilizarnos”.

En segundo lugar, el código fuente de muchos de los clientes de Telegram es, también, libre. La rusa es una aplicación que funciona en la nube y en distintos entornos. Existen seis aplicaciones no oficiales de Telegram para Linux, Windows, Mac y otros sistemas operativos en las que la seguridad solo recae en la contraseña, y no en el diseño del sistema, haciendo muy fácil, destaca Inteco, que un atacante acceda a datos de terceros pasando desapercibido. Uno de los principales fallos de Telegram, insisten desde el Instituto, reside en que la aplicación deposita toda la confianza en el cliente.

Ejecutar un ataque de este tipo, aclaran desde Inteco, resulta muy complejo, pero, aun así, habrá que ver si el equipo de Telegram termina entregando, como prometió públicamente, cuando presumía de ser la más segura, una recompensa de 200.000 dólares para el primer hacker que sea capaz de descifrar una conversación ajena.

Foto cc: edowoo

Sobre el autor de este artículo

Manuela Astasio

Soy una periodista especializada en nada, que ha pasado por Deportes, Agroalimentación, Cultura y por la delegación de Efe en México DF. Ahora me toca hablar de nuevas tecnologías y redes sociales, cosa que hago con mucho gusto y un poco de cinismo.