La gran mentira de la seguridad de Telegram

Que Telegram es seguro es mentira, una gran mentira, marketing puro, duro y oportunista. El equipo de desarrollo de Telegram se ha apresurado a desarrollar un plagio de WhatsApp a gran velocidad para distribuirlo viralmente a gran velocidad a través de las siempre descontentas Redes Sociales, que los últimos meses clamaban contra los problemas de seguridad de WhatsApp.

La seguridad de WhatsApp, la comidilla del barrio

Desde que Snowden destapó las acciones de la NSA en contra de la intimidad de los usuarios y desveló cómo estaban espiando a los ciudadanos a través de aplicaciones como WhatsApp o Line, la histeria colectiva a llevado a la búsqueda de soluciones para los problemas de seguridad de WhatsApp. Telegram se presenta como una aplicación segura, pero en realidad, es tan segura -o insegura- como sus competidoras.

Telegram no es tan seguro como lo pintan

El hecho de que se venda la seguridad de Telegram como la panacea en cuestiones de seguridad informática tiende al fraude, Telegram es tan segura como las preferentes rentables…

La idea de Telegram es buena, lanzar una aplicación casi igual que las otras que ya están en el mercado, pero vendiendo que es mucho más segura que WhatsApp y el resto a la competencia.

Bueno, es cierto que la gente de WhatsApp nunca se ha preocupado de utilizar un cifrado seguro para las transferencias de datos de sus conversaciones, y que además almacenan todas las conversaciones en sus servidores, siendo siempre accesibles para quien ellos estimen oportuno desde sus bases de datos, pero es que lo de WhatsApp es irrisorio.

Telegram no es seguro

No es que Telegram no sea tan seguro como lo pintan, es que los grados de «falsa seguridad» que alcanza sirven para lo mismo que poner un código de desbloqueo de pantalla… sí, tu pareja no podrá leer fácilmente tus conversaciones privadas si no quieres, pero las agencias de inteligencia sí.

¿Mienten sobre la seguridad de Telegram? Más que mentir, maquillan la verdad, tildan a Telegram como la aplicación de mensajería más segura del mercado, nos venden unas funcionalidades seguras como el envio de mensajes cifrados, o complejos algoritmos criptográficos hiperseguros.

Destripamos la seguridad de Telegram

Vamos a analizar la seguridad de Telegram. La seguridad de Telegram basa en la criptografía simétrica, es una forma bastante simple de cifrado, en la que cada dispositivo tiene una clave única y secreta. A la hora de mantener una conversación, los dos dispositivos tienen una clave común que les sirve para descifrar los mensajes sin que, teóricamente, se puedan interceptar.

Telegram es igual de seguro que WhatsApp

El problema radica en hacer que los dos dispositivos conozcan misma clave sin que ésta sea transmitida ni pase por servidor, he aquí el gran fallo de seguridad de Telegram. El equipo de desarrollo de Telegram no es tonto, y trató de buscar la mejor solución posible, para lo cuál organizó un concurso de algoritmos de criptología, siendo el elegido el algoritmo Diffie-Hellman, basado en matemáticas, exactamente en grupos de enteros multiplicativos con módulo p, con p primo…

Vale, ¿y qué? Bueno, este algoritmo genera una clave única (la utilizada para cifrar los mensajes de Telegram), llamémosla c basándose en otras dos claves, llamémoslas a y b: es muy fácil obtener el resultado de una operación entre a y b, pero es más difícil obtener los operandos a y b teniendo sólo el resultado c. En resumen es así como Telegram cifra los mensajes.

Cómo cifra los mensajes Telegram

Para que sea entendido, vamos a hacerlo con letras, aunque en el caso de Telegram se utiliza un tóken, una clave, mucho más compleja.

El usuario «Gabriel» tiene una clave (a), el usuario «Pedro» tiene otra (b), esas claves son sólo suyas y no se tocan, ahora bien, se ponen de acuerdo para crear una clave común (c) que será la que se envíe. Pero no será (c) la clave utilizada para enviar el mensaje, antes de entablar una conversación Pedro y Gabriel van a establecer una clave común que sólo sus dos dispositivos van a entender, con una serie de operaciones.

Siguiendo nuestro ejemplo la clave de Gabriel se sumará a la común, quedando (ac) y la de Pedro hará lo mismo, tenemos (bc). Pedro le manda (bc) a Gabriel, y Gabriel (ac) a Pedro, ahora sólo queda operar con la clave propia de cada uno, que será una clave distinta y única (d) casi indescifrable si no tienes (a), (b) o (c).

Cifrado SHA-1

Hasta aquí todo bien, la cuestión es que cualquier persona con conocimientos de criptografía tardaría unos minutos en descifrar las claves de Telegram de un usuario activo, salvo que sólo se escribiese con otro terminal. Y como en las agencias de inteligencia hay muchos expertos en descifrar mensajes, no estás a salvo de que la CIA, el CNI, la NSA o tu amigo friki te espíen si quieren hacerlo. La pregunta es… ¿tienes motivos para preocuparte de que te espíen?

Otros problemas de seguridad de Telegram

Telegram también utiliza el MAC (Message Authentication Code) para validar que los mensajes no se han dañado en el proceso de envío, pero eso lo hace cualquier dispositivo actual desde hace décadas. Si no se hiciera, tendríamos un 92% de mensajes corruptos en cualquier servicio de mensajería, incluso pasaba con los SMS…

La novedad que implementa Telegram es el cifrado de esta firma de los mensajes, la MAC, mediante el protocolo SHA-1 de 160 bits, pero… ¿os cuento un secreto? El protocolo SHA-1 fue desarrollado por la Agencia de Seguridad Nacional estadounidense, la NSA, por tanto sí, el protocolo de seguridad de Telegram lo diseñó la NSA.

La NSA diseñó el protocolo de seguridad de Telegram ¿Problem?

En conclusión, si eres una persona normal puedes seguir utilizando WhatsApp como veías haciendo hasta ahora, si por contra eres un potencial terrorista internacional susceptible de ser espiado por la CIA… no uses ninguna aplicación de mensajería instantánea, la CIA te pillará uses la que uses.