El CNN-CERT ha alertado de los riesgos del uso de la aplicación de mensajería móvil Telegram, a la que considera en el punto de mira de ciberatacantes como herramienta de obtención de datos personales de sus usuarios.
Según ha detallado el organismo estatal en un informe, esta ‘app’ presenta carencias en materia de seguridad, como es el caso del protocolo MTProto y el cifrado de mensajes en la nube de Cloud Chat.
El informe de amenazas ‘CNN-CERT IA-23/17 Riesgos de uso de Telegram’ alerta de los riesgos del uso de esta ‘app’, un servicio que, debido a su gran aceptación, se sitúa en el punto de mira de los ciberatacantes que intentan obtener datos e información de sus usuarios.
Dos han sido los principales aspectos que han llamado la atención de los expertos del organismo estatal: el protocolo de comunicación MTProto y el servicio de cifrado de mensajes en la nube Cloud Chat, ambos desarrollados por y para la propia Telegram.
Cloud Chat es una de las dos herramientas de copia de seguridad a través del cifrado de mensajes presentes en la ‘app’ –la segunda almacena chats secretos con una clave que solo manejan los participantes– y aparece habilitada por defecto.
El CNN-CERT ha recomendado desactivar esta opción, «ya que expone datos de forma histórica frente a un compromiso, y no solo durante lo que dure este». «Un atacante podría engañar a un usuario con técnicas de ingeniería social o tener acceso al teléfono de la víctima durante un breve espacio de tiempo para obtener las conversaciones y ficheros», recoge el informe sobre Telegram.
MTProto es otro de los principales motivos de alerta por parte de los expertos. A pesar de que su cifrado no se ha roto nunca públicamente –la ‘app’ llegó a ofrecer una recompensa de 300.000 dólares a quien lo rompiese–, el escepticismo subyace en el hecho de que haya sido creado por la propia desarrolladora homónima de Telegram, lo que rompe lo que desde el CNN-CERT se identifica como «la primera regla de la criptografía: no inventes tu propia criptografía». Este sistema ‘casero’ es considerado «más propenso a errores, y probablemente no ha sido examinado o evaluado por investigadores en el exterior».
