Telegram: ¿Realmente es tan segura?

Para los que no conozcáis todavía esta aplicación, Telegram es una aplicación de mensajería instantánea similar a Whatsapp. Telegram, es una aplicación Open Source (código abierto para desarrolladores) y sin ánimo de lucro ¿? Hace un par de días me la descargué en mi móvil para probarla, aunque en realidad lo primero que se me vino a la cabeza fue investigar acerca de la seguridad de esta aplicación. Lo siento, no puedo evitarlo.

Como sabéis, este tipo de aplicaciones están sustituyendo desde hace ya un tiempo a los SMS, que prácticamente ya nadie usa y que las operadoras de móviles han terminado regalando. ¿Quién no ha usado ya Whatsapp? Seguro que muy pocos, y la realidad es que se está abriendo un mercado muy interesante para este tipo de aplicaciones. La competencia ahora está en la usabilidad, rapidez y cómo no, en ver qué aplicación cuida más de nuestra privacidad. Resumiendo, qué aplicación es más segura.

La cuestión es que sus creadores, los hermanos Durov, presumen de que su aplicación es muy segura, mucho más que Whatsapp o aplicaciones similares. De hecho Pavel Durov, uno de los creadores de VK (el Facebook ruso), recientemente publicó una noticia donde se ofrecía 200.000 dólares al que pudiera romper y descifrar su código. Parece que confían mucho en su sistema de cifrado.

El cifrado que utilizan en sus comunicaciones está basado en un protocolo propio llamado MTProto. Al tratarse de código abierto, en la documentación técnica de la aplicación se explica cómo funciona este protocolo. Pues bien, ya hay expertos de seguridad que hablan de varios agujeros de seguridad a nivel de cifrado. Obviamente, los hermanos Durov no han tardado en responder y de desmentir dicha información, lo que aún estaría por ver, porque como bien sabéis un sistema seguro 100% no existe.

Las primeras pruebas que he realizado con la aplicación se han centrado sobre todo en comprobar la confidencialidad en las comunicaciones, es decir, en los mensajes que enviamos, archivos que enviamos, etc. Después de 2 horas capturando mi propio tráfico en el que intercambiaba con un amigo mensajes e imágenes de prueba, me sorprendió gratamente que todas las comunicaciones iban correctamente cifradas, por lo que no pude extraer los mensajes e imágenes con ninguna de las herramientas que tengo para ello.

A continuación me centré en la parte de infraestructura, es decir, en los servidores de Telegram. Estos servidores son los que se encargan de gestionar los usuarios y mensajes que enviamos. Con la captura de tráfico pude descubrir algunas de las direcciones IP de los servidores. A través de unos mensajes de error de uno de los repositorios pude confirmar que la dirección IP efectivamente correspondía a uno de sus servidores.

Una vez que tenía la dirección IP, pude investigar más acerca de qué tipos de servicios se ejecutaban en ese servidor y pude comprobar que hay servicio de correo, servicio Web y otros servicios específicos que entiendo son de la propia app.

Al igual que me sorprendió gratamente el cifrado en sus comunicaciones, me llamó la atención que la versión usada en alguno de sus servicios Web estaba muy desactualizada y con importantes vulnerabilidades.

Conclusión, parece que a nivel de privacidad en las comunicaciones, Telegram cifra correctamente nuestros mensajes y archivos, pero a nivel de infraestructura tienen algunas deficiencias importantes que supongo corregirán en breve. Nuevamente queda demostrado que nada es seguro 100%.

En próximas entradas actualizaremos esta información, que como usuarios de Whatsapp o Telegram, seguro que es de vuestro interés.

Saludos!