Telegram y -no te apures a creer la promesa de privacidad-

"Telegram es la aplicación del momento", la aplicación "furor" :D como dirían en TV, pero claro, salió una nueva aplicación que te asegura una comunicación segura y ya todos le creen semejante afirmación, hasta hay "fanáticos" de la primera hora insultando a cualquiera que ponga en duda su supuesta "seguridad".

En épocas de la NSA espiándote hasta el café con leche la promesa de una aplicación de comunicación que sea realmente privada, encriptada y segura es ideal, ni hablar si ya está lista para celulares y con un click podemos instalarla. Ahora bien ¿Es Telegram más segura que Hangouts o BBM? No tan rápido...

¿Porqué tanto hype? porque así funciona internet... Claramente, Telegram usa un protocolo propio para conectar cliente-servidor-cliente, sí, depende de servidores y no utiliza TLS porque es lento, utiliza un método simplificado. Pero en vez de haber optado por claves públicas, como otros sistemas, optaron por un esquema el cual, según algunos, es extremadamente suceptible a ataques del tipo Man in the Middle, ni hablar que la "nube" siempre es un regalo para cualquier agencia que quiera intervenir en tus mensajes. Pero la gente de Telegram asegura que los mensajes no llegan sin encriptar al servidor, sino que pasan directamente al receptor.

¿Es seguro?, aquí pueden leer un excelente análisis de todos los huecos que tiene el protocolo, de hecho, participan en los comentarios los developers desmintiendo algunas cosas y aclarando otras, lo que es bueno para entenderlo y muy interesante como discusión.

Para venderse sus creadores se autodefinen como gente con conocimientos de matemática, okey, pero no de criptografía. Cuando alguien aparacer con un nuevo protocolo para algo que ya está bien definido y especificado ¿Por qué razón está duplicando esfuerzo? Nunca es eficiente y siempre tiende a requerir toda una serie de chequeos desde cero, este esfuerzo duplicado se puede realizar por una buena razón, por ejemplo que no exista lo que ellos proponen, pero justo en este caso no sólo existen protocolos seguros sino que son más seguros que el propuesto.

Por otra parte los creadores de Telegram estan lo suficientemente seguros de su propio software como para ofrecer dinero para aquel que rompa su encripción, ¿Ofrecer una recompensa te hace seguro? en realidad no, pero te permite adquirir la información de tus propios bugs y arreglarlos a tiempo. En este caso vale aclarar que ofrecen recompensa por romper la encripción pero no necesariamente ese es el ataque que realizaría un hacker, pero si podés lograrlo, USD 200.000 serían tuyos. En la web pueden encontrar un mensaje cifrado, el que lo pueda descifrar verá un e-mail al cual escribir reclamando su premio.

Ya antes les comenté aquí herramientas como CryptoCat bastante seguras pero muy poco usadas, aun así hasta esa extensión tuvo un pequeño hueco detectado hace poco. Lo bueno de Telegram es que sea de código abierto, aun así ¿por qué usar un protocolo nuevo para algo que YA existe y YA se puede hacer de forma totalmente segura? existe Jabber con OTR y Jabber es un protocolo totalmente libre y fácil de implementar, mejor, YA implementado en múltiples plataformas y en código abierto y libre.

Prometer una aplicación super segura con nombres bonitos y explicaciones "para todo el mundo" a mi siempre me plantea dudas, aun si son de código abierto, y viendo los análisis de gente que sabe sobre el tema está claro que Telegram no es más seguro que cualquier otra opción, pero es bueno que la gente empiece a considerar la protección que brinde su aplicación de mensajería preferida. BBM sigue siendo muy seguro, salvo que justo seas un terrorista y se te ocurra planear un atentado con una aplicación semejante, genera desconfianza el hecho de que sea una empresa y de código cerrado el software. Hasta Hangouts es relativamente seguro y ni hablar, hasta un mail encriptado con GPG/PGP es mil veces más seguro, el tema aquí pasa por la confianza parece.

Ahora bien, lo bueno de Internet es que impone cosas a un ritmo acelerado, hoy la moda es Telegram, no podemos asegurar que cumpla con su promesa, puede que sea seguro, puede que no, estan reinventando la rueda en algunas cosas pero a la vez ofrecen dinero a quien pueda romperlo. Si te sentís seguro utilizándolo, está todo más que bien, eso sí, nada te asegura que tu iPhone o tu Android no esten detectando lo que escribís en pantalla y enviándole eso a la NSA, la seguridad de un sistema siempre tiene un eslabón extremadamente fino y es ahí donde se rompe todo.

Si te gustó esta nota podés...
Invitame un café en cafecito.app


Otros posts que podrían llegar a gustarte...

Comentarios

  • McNifico     05/02/2014 - 15:43:10

    Mmmm... 200.000dls... interesante para investigar!

  • Leticia     05/02/2014 - 16:43:57

    De cualquier manera más seguro que Whatsapp sí es. ¿Por qué el calificativo de "hype" entonces?

  • Fede     05/02/2014 - 17:39:47

    Justo hablé de este programa 10 minutos antes que lo postearas, los buzz words saltan por todos lados "privacy" "cryptography" "end-to-end" y la cereza del postre es el "protocolo propio" para no perder exclusividad.

    Cualquier empresa que se promocione tirandole caca a su competencia es igual o peor que lo que critica. i.e Microsoft con "Scroogle".

    Mejor mostrame cuales son tus fallas y yo te digo cuales son tus aciertos. Guiño

  • Fabio Baccaglioni     05/02/2014 - 18:03:03

    Leticia dijo:

    De cualquier manera más seguro que Whatsapp sí es. ¿Por qué el calificativo de "hype" entonces?


    la única razón por la que la gente se pasa de Whatsapp a otra cosa es porque les cobran un puto dólar, más hipócrita hype que eso no hay cuando la movida es a alguien que te ofrece lo mismo "libre y gratuito", es un bleff por las supuestas ventajas con palabras grandilocuentes.

    pero si, mejor que Whatsapp es cualquier cosa, por eso no lo uso!

  • Gaston     05/02/2014 - 18:25:36

    La gente de genbeta se matan haciendo "publicidad" de esta aplicacion. Me molesta cuando pasa eso. ¿Ademas de que sirve tener una app que ninguno de tus amigos usa?, lamentablemente esa es la razon porque la utilizo Whatsapp.

  • Leandro Rotela     05/02/2014 - 19:15:21

    El día que lance una aplicacion le pondré "Gram" al final, parece que con ponerle eso al final arregla todas las falencias de la aplicación, al menos eso pasa con el resto de las que tienen gram al final :P

    Con respecto a lo ultimo es exactamente como decis, lo mismo pasa en la computadora, podes estar navegando ultra re seguro, con una ip anonima y todo re "jaquer" pero resulta que un dobolu te clavo un keylogger y tu seguridad se fue al traste :D

    No reinventemos la rueda, modernicemosla

  • Luis     05/02/2014 - 19:23:20

    Cyanogen usa esto:
    https://whispersystems.org/
    La verdad le tengo un poquitin mas de confianza

  • Fede     05/02/2014 - 19:25:55

    Leticia dijo:

    De cualquier manera más seguro que Whatsapp sí es. ¿Por qué el calificativo de "hype" entonces?

    ¿En que te basás para decir "más seguro que Whatsapp sí es" ? ¿Comparado con que?
    Whatsapp aloja copias de conversaciones solo en el equipo, no en un servidor.
    Telegram aloja copias de conversaciones en servidores, en suelo Estadounidense, por ende estás sujeto a sus leyes.
    No conozco a nadie que haya tenido que pagar por whatsapp, salvo los que usan un iPhone pero eso considerenlo como un impuesto al imbécil por usar ese teléfono.

  • timosss     05/02/2014 - 19:54:42

    El otro día en un grupo sobre seguridad anticaco una de las personas me hizo notar que TOR solo oculta la ip del navegador pero todos los demás servicios seguían usando la misma ip del proveedor

  • Fede     05/02/2014 - 20:14:10

    timosss dijo:

    El otro día en un grupo sobre seguridad anticaco una de las personas me hizo notar que TOR solo oculta la ip del navegador pero todos los demás servicios seguían usando la misma ip del proveedor


    Primero tenés que tener una idea para que sirve Tor y haber leído el FAQ. Si vas a usar Tor para mandarle hate-tweets a tu ex novia, vas mal. Esto es porque para hacerlo "salís" de la red, vía un nodo de salida. En los nodos de salida es donde se puede ver examinar los paquetes, no vas a ver mucho pero si de entrada hiciste eso, seguro tenés más de una falla como usuario. i.e el java activado, usas tu os principal, y asi caen las moscas. Mientras te mantengas rebotando entre los nodos internos, vas a andar bien.

    Fabio, sería prudente que hagas un post explicando para que es cada cosa, estoy más que seguro que más de uno te puede dar una mano para confeccionarlo, la desinformación es un monstruo grande y pisa fuerte.

    aporte: http://www.deseret-tech.com/journal/psa-tor-exposes-all-traffic-by-design-do-not-use-it-for-normal-web-browsing/

  • timosss     05/02/2014 - 21:26:15

    Fede dijo:

    timosss dijo:
    El otro día en un grupo sobre seguridad anticaco una de las personas me hizo notar que TOR solo oculta la ip del navegador pero todos los demás servicios seguían usando la misma ip del proveedor


    Primero tenés que tener una idea para que sirve Tor y haber leído el FAQ. Si vas a usar Tor para mandarle hate-tweets a tu ex novia, vas mal. Esto es porque para hacerlo "salís" de la red, vía un nodo de salida. En los nodos de salida es donde se puede ver examinar los paquetes, no vas a ver mucho pero si de entrada hiciste eso, seguro tenés más de una falla como usuario. i.e el java activado, usas tu os principal, y asi caen las moscas. Mientras te mantengas rebotando entre los nodos internos, vas a andar bien.

    Fabio, sería prudente que hagas un post explicando para que es cada cosa, estoy más que seguro que más de uno te puede dar una mano para confeccionarlo, la desinformación es un monstruo grande y pisa fuerte.

    aporte: http://www.deseret-tech.com/journal/psa-tor-exposes-all-traffic-by-design-do-not-use-it-for-normal-web-browsing/

    pero y qué querés que te mande toda la teoría aca en un post? solo estamos hablando pelotudo.

  • Francisco     05/02/2014 - 21:37:50

    ¿Sere un exagerado al decir que es un exageración preocuparse tanto por la seguridad de los chats con tus amigos/novia/etc?
    Es decir no creo que alguien envié información confidencial por whatsapp, yo creo que es mas paranoia que otra cosa, si ya se que hay casos de espionaje, pero salvo que seas un no creo que debas preoucuparte tanto

  • Fede     05/02/2014 - 22:01:24

    timosss dijo:

    Fede dijo:
    timosss dijo:
    El otro día en un grupo sobre seguridad anticaco una de las personas me hizo notar que TOR solo oculta la ip del navegador pero todos los demás servicios seguían usando la misma ip del proveedor


    Primero tenés que tener una idea para que sirve Tor y haber leído el FAQ. Si vas a usar Tor para mandarle hate-tweets a tu ex novia, vas mal. Esto es porque para hacerlo "salís" de la red, vía un nodo de salida. En los nodos de salida es donde se puede ver examinar los paquetes, no vas a ver mucho pero si de entrada hiciste eso, seguro tenés más de una falla como usuario. i.e el java activado, usas tu os principal, y asi caen las moscas. Mientras te mantengas rebotando entre los nodos internos, vas a andar bien.

    Fabio, sería prudente que hagas un post explicando para que es cada cosa, estoy más que seguro que más de uno te puede dar una mano para confeccionarlo, la desinformación es un monstruo grande y pisa fuerte.

    aporte: http://www.deseret-tech.com/journal/psa-tor-exposes-all-traffic-by-design-do-not-use-it-for-normal-web-browsing/

    pero y qué querés que te mande toda la teoría aca en un post? solo estamos hablando pelotudo.

    Tranquila, golfa

  • Fede     05/02/2014 - 22:07:37

    Francisco dijo:

    ¿Sere un exagerado al decir que es un exageración preocuparse tanto por la seguridad de los chats con tus amigos/novia/etc?
    Es decir no creo que alguien envié información confidencial por whatsapp, yo creo que es mas paranoia que otra cosa, si ya se que hay casos de espionaje, pero salvo que seas un no creo que debas preoucuparte tanto


    Hubo un caso de un Juez que lo apartaron de la causa por discutir temas del caso por Whatsapp. Se quiere cortar las tetas.
    http://www.lanacion.com.ar/1465605-pidieron-apartar-al-juez-rafecas
    http://www.lanacion.com.ar/1468397-rafecas-fue-apartado-del-caso-ciccone

    La idea de que a nadie le interesa lo que hagas/digas es subjetiva. Quizás hay algo que vos tenés, que no considerás importante, pero para otro es valioso obtenerlo. Se aplica al Whatsapp, Facebook, Mail, incluso al servicio de correo, digo (y es un ejemplo tomado de los pelos) la tarjeta de credito te la mandan por correo.

  • Virginia     05/02/2014 - 22:39:16

    Partiendo de la base que nada es 100% seguro, y menos con usuarios que son los eslabones mas debiles de la cadena...
    Yo le daría un voto a Telegram, yo no hice un examen exhaustivo de Telegram a nivel criptografia, si es simetrica o no. Si usa un protocolo propio o no... Yo de algoritmos de cifrados algo se, no mucho... no para ganarme los 200.000 verdes lamentablemente.
    Ahora como lei por algun foro que se pasarían por que es gratis me dan ganas de matarlos... se compran un terrible smartphone de 6000 pesos y no podes pagar 1 dolar por mes si lo recontra usas??? en fin... alla ellos ...

    Yo prefiero el hangout pero nadie lo usa jaja me pase a whatsapp no gustandome, pero nadie usaba los sms jaja... asi que veremos que depara como vos decis esto va a un ritmo acelerado y capaz sale algo antes que se afiance esto Line no pudo hacerlo por ejemplo

  • Carlos Zayas Guggiari     06/02/2014 - 11:05:45

    Muchos quizás no se habrán tomado la molestia de leer el análisis completo al que hace eco este artículo, incluidos los comentarios (entre los cuales hay un interesante ping-pong entre el autor del análisis y los desarrolladores de Telegram) pero al final, el mismo autor concluye con la frase: "No sabemos si es seguro. Puede que sí, puede que no."

    En conclusión, ese "excelente análisis" no fue capaz de probar eficazmente la inseguridad de Telegram. De haberlo hecho, podría, con un poco de esfuerzo adicional, reclamar los nada despreciables 200 mil dólares de premio.

    Telegram parece ser, en definitiva, una aplicación de mensajería al menos tan segura como cualquier otra alternativa, con el aliciente de tratarse de un proyecto libre y abierto, cosa que debería ser suficiente para que le demos nuestro apoyo, si verdaderamente nos interesa nuestra seguridad y privacidad.

  • Martin     06/02/2014 - 11:15:29

    Ojo, son 200.000 dólares en BTC...

  • nico     06/02/2014 - 11:51:35

    Carlos Zayas Guggiari dijo:

    Muchos quizás no se habrán tomado la molestia de leer el análisis completo al que hace eco este artículo, incluidos los comentarios (entre los cuales hay un interesante ping-pong entre el autor del análisis y los desarrolladores de Telegram) pero al final, el mismo autor concluye con la frase: "No sabemos si es seguro. Puede que sí, puede que no."

    En conclusión, ese "excelente análisis" no fue capaz de probar eficazmente la inseguridad de Telegram. De haberlo hecho, podría, con un poco de esfuerzo adicional, reclamar los nada despreciables 200 mil dólares de premio.

    Telegram parece ser, en definitiva, una aplicación de mensajería al menos tan segura como cualquier otra alternativa, con el aliciente de tratarse de un proyecto libre y abierto, cosa que debería ser suficiente para que le demos nuestro apoyo, si verdaderamente nos interesa nuestra seguridad y privacidad.

    tal cual.
    ademas telegram tiene ciertas ventajas con respecto a wazap, la mayoria son limites mas altos en los tamaños de archivos y cantidad de personas.

  • nico     06/02/2014 - 12:06:05

    supuestamente BBM es ultra seguro, pero los HDP ni se gastaron en hacer la app acorde a la plataforma, es muy engorroso usar esa porqueria, los botones estan en cualquier lado, no es liviano, por ende no lo usa nadie.
    lo tengo instalado ahi juntando polvo

  • Martin Aberastegue     06/02/2014 - 13:30:01

    Nada es completamente seguro, podrás serlo en mas o menor medida que el anterior pero poco va a durar si tus amigos, flia y demás conocidos no se mudan de app. Muchos se quejan de que WA no es seguro pero se la pasan bajando apps pirateadas de cualquier lado o inclusivo de la store oficial para instalar en su telefono rooteado. Ya hasta hay pruebas de concepto capaces de grabar los taps y swipes en las pantallas ... de nada te sirve un protocolo mega-seguro si fallaste en lo básico.

    http://www.elladodelmal.com/2014/01/la-estafa-de-la-linterna-molona-que.html
    http://www.net-security.org/malware_news.php?id=2696

  • Gustavo V     06/02/2014 - 14:17:36

    conozco varios hipsters que lo usan, no se si quiero usarlo, de hecho no uso ninguno, porque si quiero decir algo extremadamente confidencial no uso un mensajero.

    lo hago F2F (cara a cara) o mediante un mail encriptado con doble key de 16KB.

  • Sebastian     08/02/2014 - 12:24:39

    Yo estoy esperando a ver qué onda con Hemlis (https://heml.is/)... Guiño mientras, aguanto con whatsapp

  • julian     10/02/2014 - 15:32:17

    Para lo que me pueden llegar a ver en whatsapp. a que hora nos juntamos. cxxxxx veni yaaa, a que hora es el asado, etc. no creo que puedan hacer nada con esa info.. jejeje

  • Rubén     15/02/2014 - 16:40:19

    Os voy a poner unos casos...

    a) tienes tu red Wi-Fi de casa con la clave genérica (mucha gente no es informática y desconocen el modo de cambiar la clave)...
    Te usan un programa como wifi auditor (entre otros parecidos) y luego whatsapp sniffer y te ven hasta las fotos en gayumbos que le mandes a tu pareja

    b) Usas una clave wpa2 no genérica...
    Te usan la auditoria wifislax para romper esa clave, cosa que les llevará algún tiempo y luego con el paso a) vuelven a leerte tus conversaciones.


    Para esa mierda de encriptación del whatsapp prefiero usar cualquier cosa, que luego ya se sabe

  • sushisan     24/02/2014 - 14:12:05

    La seguridad no es un producto, es un proceso. El habito de la seguridad no va a depender jamas de una herramienta si no de como organices tus accesos e información.
    Por otro lado jamas daría por sentado que la seguridad que me ofrece un agente externo y no puedo controlar lo sea de manera clara y contundente.
    Lo interesante de este servicio es su API abierta y su supuesta "for ever" gratuidad.
    Si lo que te interesa es la seguridad yo también apuntaría a otros servicios donde la encriptación es local, siendo la mas sencilla el Jabber con OTR.
    Por otro lado, al tener una API abierta podrías crearse clientes alternativos para esta plataforma que agreguen una capa más de seguridad.
    Lo que si parece ser más seguro es la transmisión desde el teléfono hasta el AP/3G/etc ta que whatsapp lo hace de manera abierta (por lo menos la ultima vez que supe de el) y cualquiera que snifee la red puede ver la comunicación.

  • Diego Lafuente     17/03/2014 - 11:49:26

    Coño, Fabio. Sabés bien que no se puede ser perfecto pero lo que hace Telegrama al ofrecer tanto dinero es eso: afirmar su seguridad.

    Snapchat, whatsapp, todos han sido totalmente hackeados que venga uno más y además ofreciendo dinero no viene mal. Tal es la bondad que todo lo que mencionaste fueron hipótesis de debilidades. Ya habría sido todo ultra reventado de ser verdad cada tipo de debilidad.

    Para mí estamos en la discusión del sexo de los angeles. Es como cuando discuten de que es más seguro: Windows o linux. La verdad es clara: ambos pueden serlo hasta que la evidencia muestre lo contrario, pero la realidad es bien distinta: hay más petes de windows por mes que de Linux.

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https

Negrita Cursiva Imagen Enlace


Comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador. Los comentarios son filtrados por ReCaptcha V3.