Telegram anónimo: la verdad sobre la seguridad de las comunicaciones virtuales
2016-10-18 19:39:07
En:
¿Es posible garantizar hoy en día el anonimato absoluto de las comunicaciones? Esta cuestión cobró aún más actualidad tras las revelaciones de Snowden. Es el concepto de seguridad que Pavel Durov tuvo en cuenta al crear Telegram anónimo con su hermano Nikolai. Según la declaración de los desarrolladores, el mensajero en cuestión es capaz de proporcionar seguridad tanto frente a los hackers ordinarios como frente a las acciones de las agencias de inteligencia gubernamentales. Pero, ¿es esto cierto? Averigüémoslo a continuación.
Parámetros básicos de seguridad de la información
La aplicación se basa en el desarrollo innovador - es el protocolo MTProto que implica el uso de varios protocolos de cifrado. Para la seguridad de los datos se utilizan los siguientes algoritmos:
DH-2048, RSA-2048 (para la autorización y autenticación);
AES (para el cifrado de datos).
AES (para los mensajes reenviados);
SHA-1, MD5 (algoritmos hash criptográficos)
.
Durante la transmisión de los mensajes, el cifrado se realiza mediante el algoritmo AES con una clave conocida por el cliente y el servidor. Al mismo tiempo, la protección contra la interceptación de mensajes por parte del servidor sólo está garantizada en un modo especial anónimo de Telegram llamado Chats Secretos, en el que los participantes tienen una clave común que sólo ellos conocen. A diferencia del modo estándar, el cifrado de extremo a extremo excluye la posibilidad de descifrar los mensajes y el historial de conversaciones sólo se almacena en los dispositivos de los usuarios.
Organización de concursos de búsqueda de fallos
Desde que este mensajero anónimo entró en el mercado (agosto de 2013), sus desarrolladores y Pavel Durov en particular han comenzado a organizar los concursos entre expertos en criptografía con el fin de revelar fallos de seguridad.
El primero de este tipo de proyectos tuvo lugar a finales de 2013. La tarea de los concursantes consistía en descifrar la conversación de Pavel Durov y su hermano en un chat secreto mediante el intercambio de datos cifrados entre el servidor y la aplicación. A los pocos días de comenzar el concurso, uno de los participantes consiguió encontrar un fallo en el sistema. Se trataba de que un usuario recibía del servidor los parámetros de una clave sin verificarlos. Dicho fallo reducía la integridad criptográfica y permitía ejecutar un ataque MITM oculto. Aunque esa persona no consiguió descifrar la conversación entre Pavel y Nikolai, se le pagó la mitad de una comisión, 100 mil dólares en concreto.
Independientemente de la sociabilidad de los desarrolladores y de su empeño por revelar fallos de seguridad mediante esfuerzos combinados, muchos expertos se muestran escépticos ante este tipo de concursos. La ausencia de ganadores no es todavía una garantía de seguridad absoluta, ya que las condiciones las establece un desarrollador pero el análisis lo realizan con frecuencia personas al azar. Además, 200 mil dólares es una pequeña suma de dinero para los expertos en criptografía, por lo que es poco probable que los mejores representantes participen en tales concursos.
¿Permite Telegram anónimo garantizar la completa seguridad de las comunicaciones?
El argumento básico de los detractores de la aplicación en cuestión consiste en vincular a un usuario con su número de teléfono. La cuestión que se plantea es si este mensajero puede considerarse anónimo si el servidor contiene datos de telefonía que pueden decir prácticamente todo sobre una persona, incluida la siguiente información:
nombre completo;
coordenadas geográficas exactas;
contactos;
datos personales, etc.
La autenticación se realiza mediante un mensaje de texto en el que se indica un código de verificación de inicio de sesión de un solo uso. La ausencia de una contraseña es aún más alarmante. En otras palabras, basta con que el usuario introduzca un código del mensaje para iniciar sesión. El servicio se caracteriza por un montón de complicados algoritmos de cifrado, pero no tiene una contraseña elemental. Por tanto, es posible iniciar sesión en la cuenta del cliente mediante la interceptación de mensajes de texto (lo que no supone una dificultad extrema para las agencias de inteligencia).
Sin duda, el almacenamiento de información en las plataformas protegidas de los servidores estadounidenses ofrece a los usuarios cierta garantía. Sin embargo, el mero hecho de que la información personal de un cliente pueda estar a disposición de terceros contradice la idea del anonimato absoluto. Además, los recientes acontecimientos en EE.UU. (cuando una cuenta de correo electrónico propiedad de Hillary Clinton, aspirante a la presidencia, fue pirateada debido a un ataque de hacking) son indicativos de la vulnerabilidad de los modernos sistemas de seguridad informática.
Conclusión
Sin duda, Telegram cuenta con complejos algoritmos de cifrado que permiten alcanzar un alto nivel de seguridad de los datos cuando se comunica en modo de chat secreto. Al mismo tiempo, la vinculación del número de teléfono no permite hablar de seguridad absoluta y confirmar que la información no será accesible a terceros como consecuencia de un ataque de hacking.
En resumen: ¿vale la pena utilizar la aplicación dada? Es una variante perfecta para aquellos usuarios que quieren obtener un servicio rápido y conveniente para el propósito de la comunicación privada. Sin embargo, cuando se trata de personas con un estado de ánimo paranoico que quieren estar seguros de la absoluta seguridad de las conversaciones y los datos personales, Telegram no puede garantizarlo. Otra cosa es que hoy en día siga siendo dudosa la existencia de cualquier otro mensajero que ofrezca tales garantías.
Durante la transmisión de los mensajes, el cifrado se realiza mediante el algoritmo AES con una clave conocida por el cliente y el servidor. Al mismo tiempo, la protección contra la interceptación de mensajes por parte del servidor sólo está garantizada en un modo especial anónimo de Telegram llamado Chats Secretos, en el que los participantes tienen una clave común que sólo ellos conocen. A diferencia del modo estándar, el cifrado de extremo a extremo excluye la posibilidad de descifrar los mensajes y el historial de conversaciones sólo se almacena en los dispositivos de los usuarios.
Independientemente de la sociabilidad de los desarrolladores y de su empeño por revelar fallos de seguridad mediante esfuerzos combinados, muchos expertos se muestran escépticos ante este tipo de concursos. La ausencia de ganadores no es todavía una garantía de seguridad absoluta, ya que las condiciones las establece un desarrollador pero el análisis lo realizan con frecuencia personas al azar. Además, 200 mil dólares es una pequeña suma de dinero para los expertos en criptografía, por lo que es poco probable que los mejores representantes participen en tales concursos.
La autenticación se realiza mediante un mensaje de texto en el que se indica un código de verificación de inicio de sesión de un solo uso. La ausencia de una contraseña es aún más alarmante. En otras palabras, basta con que el usuario introduzca un código del mensaje para iniciar sesión. El servicio se caracteriza por un montón de complicados algoritmos de cifrado, pero no tiene una contraseña elemental. Por tanto, es posible iniciar sesión en la cuenta del cliente mediante la interceptación de mensajes de texto (lo que no supone una dificultad extrema para las agencias de inteligencia).
Sin duda, el almacenamiento de información en las plataformas protegidas de los servidores estadounidenses ofrece a los usuarios cierta garantía. Sin embargo, el mero hecho de que la información personal de un cliente pueda estar a disposición de terceros contradice la idea del anonimato absoluto. Además, los recientes acontecimientos en EE.UU. (cuando una cuenta de correo electrónico propiedad de Hillary Clinton, aspirante a la presidencia, fue pirateada debido a un ataque de hacking) son indicativos de la vulnerabilidad de los modernos sistemas de seguridad informática.
En resumen: ¿vale la pena utilizar la aplicación dada? Es una variante perfecta para aquellos usuarios que quieren obtener un servicio rápido y conveniente para el propósito de la comunicación privada. Sin embargo, cuando se trata de personas con un estado de ánimo paranoico que quieren estar seguros de la absoluta seguridad de las conversaciones y los datos personales, Telegram no puede garantizarlo. Otra cosa es que hoy en día siga siendo dudosa la existencia de cualquier otro mensajero que ofrezca tales garantías.
