La aplicación de mensajería Telegram llegó al mercado este año para hacerle frente a WhatsApp. Su sello de diferencia frente a otras aplicaciones de mensajes es su fuerte sentido de la seguridad. Ahora, investigadores del Inteco (Instituto Nacional de Tecnología de la Comunicación) han descubierto un grave fallo de seguridad en Telegram que afecta a sus servidores.

Inteco ha realizado una análisis minucioso del diseño que utiliza Telegram para autenticar a los usuarios y ha dado con un bug que permite a los atacantes a interceptar información enviada por los usuarios sin que estos sean conscientes del ataque.

Telegram es un cliente de mensajería instantánea muy similar a WhatsApp pero semi-open-source, el decir, la parte del cliente es código abierto, aunque todo lo relacionado con el servidor trabaja a través de una API y no se ha abierto el código en ningún momento. La vulnerabilidad no está en la aplicación que se instala, sino que está localizada en los mecanismos de autenticación entre cliente y servidor. Este sistema puede ser ignorado ya que el servidor no verifica la legitimidad de las claves públicas de Telegram, lo que permitiría a un atacante conseguir el control casi completo de la cuenta del usuario, accediendo a sus conversaciones, archivos compartidos y claves, que le permitirían hasta la posibilidad de suplantar la identidad del mismo de cara al servidor.

Telegram Auth MITM Telegram Auth MITM

Inteco ya comunicó este fallo de seguridad a Telegram el pasado 11 de marzo.

Si Telegram no quiere perder el prestigio y los usuarios ganados en los últimos tiempos frente a WhatsApp y establecerse como una alternativa segura, deberán sacar un parche para solucionar esta grave vulnerabilidad.


Momento complicado para Telegram por la huida de Rusia de su fundador

Este fallo, y quizás el motivo del retraso en su reparación, puede estar motivado por los problemas que hay en la empresa tras el exilio de Pavel Durov, quien el pasado jueves explicaba que se negó a entregar al Servicio Federal Ruso (FBS) información personal de los organizadores del grupo Euromaidan, uno de los responsables de la protesta pro-europea en Ucrania.

Esto ha provocado que Durov, quien también fue fundador de VKontakte, rival de Facebook en Rusia con más de 100 millones de usuarios, se haya marchado de su país y, en las últimas horas, se ha informado que pasaba a ser ciudadano de St. Kitts and Nevis a cambio de una donación al país de 250.000 dólares a la industria azucarera del país.

Mientras la red social Vkontakte ha pasado a estar controlada por su CEO Igor Sechin, al que se le relaciona estrechamente con el Kremlin, y por el accionista ruso Alisher Usmanov, no hay noticias de cómo queda la situación para Telegram.


FUENTES

www.movilzona.es
www.abc.es