27 sep. 2017

Informe de debilidades de Telegram

A pesar de la buena fama que tiene la aplicación de mensajería instantánea Telegram, el Centro Criptológico Nacional de España (CCN-CERT) ha alertado de los riesgos del uso de dicha app, a la que considera en el punto de mira de ciberatacantes como herramienta de obtención de datos personales de sus usuarios. Según ha detallado el organismo estatal en un informe, esta aplicación presenta carencias en materia de seguridad, como en el caso del protocolo MTProto y el cifrado de mensajes en la nube de Cloud Chat.
Así se detalla en el informe de amenazas CCN-CERT IA-23/17 Riesgos de uso de Telegram.
Cloud Chat es una de las dos herramientas de copia de seguridad a través del cifrado de mensajes presentes en la app. La segunda almacena chats secretos con una clave que solo manejan los participantes y aparece habilitada por defecto.

El CCN-CERT ha recomendado desactivar esta opción, "ya que expone datos de forma histórica frente a un compromiso, y no solo durante lo que dure este. Un atacante podría engañar a un usuario con técnicas de ingeniería social o tener acceso al teléfono de la víctima durante un breve espacio de tiempo para obtener las conversaciones y ficheros", recoge el informe sobre Telegram. La primera regla de la criptografía es "no inventes tu propia criptografía"

MTProto es otro de los principales motivos de alerta por parte de los expertos. A pesar de que su cifrado no se ha roto nunca públicamente y la app llegó a ofrecer una recompensa de 300.000 dólares a quien lo rompiese, el escepticismo subyace en el hecho de que haya sido creado por la propia desarrolladora homónima de Telegram. Este sistema "casero" es considerado "más propenso a errores, y probablemente no ha sido examinado o evaluado por investigadores en el exterior".

A ambos riesgos de la ciberseguridad de Telegram se suman otros factores como la obligación de dar a la aplicación el número de teléfono personal como parte del proceso de registro, la recopilación de metadatos por parte de sus servidores, la monitorización de usuarios, la descarga de servicios no oficiales de la app o posibles secuestros de cuentas aprovechando fallos de red o a través de SMS o llamadas.

El Informe publicado incluye una serie de recomendaciones adicionales para que la información de los teléfonos móviles quede a salvo de posibles atacantes o programas dañinos.
El documento incluye además los siguientes apartados:
  • Tipo de chat por defecto sin E2E activado
  • Riesgos del almacenamiento de información y cloud chats
  • MTProto
  • Identificadores y sincronización de contactos
  • El peligro de los metadatos
  • Secuestro de cuentas aprovechando fallos de la red
  • Robo de cuentas mediante SMS y acceso físico
  • Robo de cuentas mediante llamada y acceso físico
  • Monitorización de usuarios
  • Peligros de la descarga de clientes Telegram no oficiales
  • Otros fallos de seguridad
Pueden acceder a este informe en la sección de Informes Públicos del portal del CCN-CERT.

Este trabajo de CCN-CERT coincide con una tesis de maestría publicada en 2015 por Jakob Bjerre Jakobsen y Claudio Orlandi de la Universidad de Aarhus llamada A practical cryptanalysis of the Telegram messaging protocol [PDF].

Fuente: 20 Minutos | CCN-CERT IA-23/17 Riesgos de uso de Telegram

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!