viernes, 3 de agosto de 2018

Telegram Passport es vulnerable a ataques cibernéticos severos


Hace escaso tiempo Telegram lanzó un servicio completamente nuevo: Telegram Passport. Este servicio sirve para almacenar todos nuestros documentos importantes, como nuestro pasaporte, Cédula de Identidad o datos bancarios para que estos puedan ser usados por otras entidades, como por ejemplo, para pagar. Una forma de unificar todos nuestros documentos, como si de una cartera cibernética se tratase.

La cuestión es que, según se ha descubierto, Passport tiene vulnerabilidades de seguridad. Es especialmente importante dada la sensibilidad de este concepto: nuestros documentos están almacenados ahí y que un hacker pueda acceder a ellos da que pensar. Aunque estos ataques deben ser virulentos, todo hay que decirlo.

Passport tiene vulnerabilidades que no lo hacen tan seguro


Afortunadamente, los ataques necesarios para que se acceda a Passport deben ser fuertes. Es decir, si bien un ataque cibernético puede acabar con la seguridad de Telegram, en cierta medida estamos protegidos ante ataques menores o de menor relevancia.

El primer “agujero” lo vemos en la protección de las contraseñas. Según Telegram: “Tus documentos y datos personales serán almacenados en la nube de Telegram usando el encriptado de extremo a extremo.” La cuestión es que están usando un algoritmo llamado SHA-512, que no está pensado para salvaguardar contraseñas.

En 2013, se perdieron 50 millones de contraseñas que usaban este algoritmo. En el caso de Linkedin, la red social laboral, vemos unas 8 millones de contraseñas perdidas. Queda claro: usando este algoritmo, un fuerte ataque podría derribar fácilmente uno de los puntos vitales de este servicio.

La cosa va a más. Según se ha podido ver en el código del servicio, una granja de criptomonedas con varias GPUs podría superar el encriptado con algo de esfuerzo y obtener las contraseñas mediante una serie de cálculos en el código. Aunque Passport protege bien sus contraseñas, realmente no las hace inaccesibles, sólo más caras de obtener para los hackers que ejecuten los ataques de fuerza bruta.

Lo bueno es que esto es solucionable. Una buena implementación de un sistema más eficiente de encriptado de extremo a extremo de los que hay actualmente solucionará el problema, y se puede incluir en el servicio fácilmente. Además, también debemos tener en cuenta que Passport es un servicio muy joven que lleva poco existiendo, por lo que esto no es una amenaza real y hay tiempo para que se solucione.

Queda por ver si Telegram lo soluciona. Volvemos a incidir: hay que hacer un buen ataque para traspasar la seguridad de Passport, pero esta no es inexpugnable. Por lo cual, y dado que Passport será el centro donde almacenemos nuestros datos personales, Telegram debería actuar rápido ahora que puede.