Fallos en el protocolo de encriptación de mensajes de Telegram

Logotipo de Telegram

Investigadores de seguridad de la Escuela Politécnica Estatal de Zurich (ETH Zurich) y de la Escuela Royal Holloway de la Universidad de Londres han hallado cuatro fallos en la encriptación de los mensajes de Telegram, una app de mensajería instantánea que muchos eligen por la seguridad que puede llegar a ofrecer siguiendo una serie de recomendaciones.

Telegram aplica un protocolo de encriptación a los mensajes que envían sus usuarios

Se trata de fallos considerados como no críticos, aunque sí son susceptibles de propiciar fallos en las garantías de seguridad que afectan a la protección criptográfica de los mensajes. Los fallos han sido detectados tras analizar minuciosamente el código fuente de la app Telegram en lo relativo a los protocolos de encriptación, específicamente el TLS (Transport Layer Security).

El profesor de ETH Zurich Kenny Patterson ha declarado que la encriptación de los mensajes en Telegram «podría haberse hecho mejor, de una manera más segura y de un modo más confiable mediante una aproximación estándar a la criptografía».

La vulnerabilidad más destacable posibilitaría a un atacante manipular la secuencia de mensajes proveniente de los clientes en la Nube que maneja Telegram. Otra haría posible que un atacante que ganase acceso a la red pudiera detectar cuál de los mensajes está siendo encriptado por el cliente o el servidor, algo que según Patterson supone más interés para un investigador sobre criptografía que para un ciberatacante.

El tercer fallo detectado se refiere a un potencial ataque mediante una manipulación de la negociación inicial de contraseñas entre cliente y servidor, algo que sólo podría obtener éxito después de enviar miles de millones de mensajes. Por último, la cuarta vulnerabilidad encontrada podría hacer factible (en teoría) que un atacante recuperase texto plano de mensajes encriptados en un ataque que obligaría a enviar millones de mensajes y observar el tiempo que tardan en ser entregados. Este ataque ha sido catalogado por los investigadores como «impracticable», y desde Telegram no se considera que constituya una amenaza.

En cualquier caso los investigadores de los centros universitarios de Zurich y Londres coinciden en que estos fallos «no permiten descifrar los mensajes», según ha declarado Telegram en un comunicado en el que aprovecha para agradecer el trabajo de ambos grupos de investigación por su contribución a la mejora de los protocolos que emplea la plataforma de mensajería instantánea.

Y es que aunque los resultados de esa investigación se han conocido ahora fue en abril cuando se encontraron, siendo comunicados a Telegram a fin de que pudiera solucionarlos mediante los parches adecuados, algo que ya se ha hecho.

Antonio Rentero

Comunicador especializado en tecnología y cine. Jurista especializado en protección de datos. Curioso especializado en prácticamente todo.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    • TreceBits te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Manuel Moreno Molina (TreceBits) como responsable de esta web.
    • La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar la solicitud que realizas en este formulario de contacto.
    • Legitimación: Consentimiento del interesado.
    • Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de SiteGround Spain S.L. (proveedor de hosting de TreceBits). SiteGround Spain S.L. está ubicado en la UE, cuyo nivel de protección son adecuados según Comisión de la UE. Ver política de privacidad de SiteGround Spain S.L.
    • Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@trecebits.com así como el derecho a presentar una reclamación ante una autoridad de control.
    • Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra política de privacidad.