Expertos cuestionan la seguridad del nuevo servicio de pasaportes de Telegram

Pedro Luis Martín Olivares
Pedro Luis Martín Olivares - Expertos cuestionan la seguridad del nuevo servicio de pasaportes de Telegram

Pedro Luis Martín Olivares – Los expertos en seguridad han cuestionado la integridad del Pasaporte Telegram. El esquema de identidad, que se lanzó la semana pasada, proporciona un servicio KYC para los solicitantes de ICO, con documentos personales protegidos por encriptación de extremo a extremo. La decisión de Telegram de lanzar su propia criptografía.

Hacer rodar su propia criptografía es considerado como un gran NO en la industria de la infosec, ya que es susceptible de introducir vulnerabilidades; solo pregúntele a IOTA, que aprendió por las malas que la elaboración de un algoritmo hecho a medida es una receta para el desastre. Jackson Palmer fue uno de los primeros en llamar a Telegram para la práctica, poco después de que se rompió la noticia de Telegram Passport, tuiteando «Es posible que desee pensar dos veces antes de cargar sus documentos de identidad a un servicio que lanzó su propia criptografía y no admite E2E cifrado por defecto «.

Si bien Passport tiene encriptación de extremo a extremo, depende del algoritmo patentado de Telegram para encriptar los datos que se cargan: datos extremadamente valiosos como escaneos de pasaportes y extractos bancarios que seguramente formarán un honeypot para los hackers. Un nuevo informe de Virgil Security ha expuesto gran parte del funcionamiento interno de Telegram Passport, y en base a lo que ha aparecido su equipo, las cosas no parecen alentadoras. Si bien la piratería del servicio no sería una formalidad, incluso para un equipo sofisticado, existen suficientes vulnerabilidades para dar a un atacante determinado un posible punto de entrada.

El informe concluye: «La cita anónima más famosa de criptografía dice» ¡No enrolles tu propia criptografía! «En 2015, Telegram se encontró con críticas similares. En 2016, se revelaron 15 millones de números de teléfono de los usuarios de Telegram en Irán debido a un error de autenticación de usuario. Ahora es 2018 y con el pasaporte de Telegram, la cita nunca ha sido más cierta «.

Uno de los problemas con el sistema de Telegram para cifrar y almacenar datos de usuario con Passport es que no se utiliza una firma digital. Esto se aplica comúnmente a las actualizaciones de software lanzadas por los equipos de proyecto, por ejemplo, permitiendo que cualquiera que lo instale se asegure de que el paquete que están desagregando sea genuino y no haya sido manipulado. Como señala Virgil Security, «la seguridad de los datos que carga en la nube de Telegram se basa en gran medida en la fortaleza de su contraseña, ya que los ataques de fuerza bruta son fáciles con el algoritmo de hashing elegido. Y la ausencia de firma digital le permite modificar sus datos sin que usted o el destinatario puedan decirlo «.

Telegram Passport puede no ser intrínsecamente defectuoso, pero evidentemente hay formas en que podría reforzarse para la tranquilidad de sus usuarios y para mejorar la reputación de Telegram. «Algunos usuarios de Telegram estarán naturalmente preocupados por confiar sus detalles más íntimos a la plataforma, incluso con la promesa de encriptación de extremo a extremo». El CEO Pavel Durov es un hombre de pocas palabras públicamente, después de haber twitteado a sus 1,45 millones de seguidores menos de 2.000 veces desde que se unió a Twitter hace una década. Si desea evitar los temores sobre la seguridad de los métodos de cifrado de Telegram, tendrá que romper ese silencio.

Vía Bitcoin News
Sabías que puedes leer esta noticia y otras en Telegram

Pedro Luis Martín Olivares
Economía y Finanzas

Sé el primero en comentar en «Expertos cuestionan la seguridad del nuevo servicio de pasaportes de Telegram»

Deja un comentario

Tu dirección de correo electrónico no será publicada.


*


*