Hace 7 años | Por --171389-- a ubuntizando.com
Publicado hace 7 años por --171389-- a ubuntizando.com

Investigué sobre el tema para asegurarme de lo que William Turton afirmaba como un riesgo a la seguridad de tus datos fuera cierto... Hace tiempo aprendí que en Internet debes tener varias fuentes para confirmar cierta noticia, nada más fácil que “pagar” para que alguien publique una nota de desprestigio de algo o de alguien.

Comentarios

C

creo que #2 y #16 dan en el clavo.

e

#19 Pues el propio artículo enlazado en #2 reconoce que lo que dice está anticuado y que ya no es fiable. Y sobre lo de #15 (creo que te referías a este y no a #16), la misma funcionalidad de whatsapp, cifrado punto a punto, la tienes disponible en los chats secretos.
Yo creo que ambas erran el tiro, no se acercan al clavo...

Otra cosa es que me encantaría saber qué sucede cuando se almacenan datos en el servidor, qué sistema de ficheros, con qué cifrado (si lo usa), qué replicación aplican... Pero esos dos temas en particular, como que no...

C

#20 me refería a #16, osea, que el end-to-end en todos los mensajes sacrificaría su mejor funcionalidad. En cuanto al artículo no dice exactamente lo que dices (supongo que te refieres al primer párrafo):

Disclaimer: this post is now very old and may not reflect the current state of Telegram’s protocol. There has been other research in the meantime, and this post should not be used for your choice of secure messaging app. That said, on a personal note, I still think Telegram’s cryptosystem is weird, and its justifications are fallacious. If you want a recommendation on secure messaging apps: use a system based on the Axolotl/Signal protocol. It is well designed and has been audited. Signal and WhatsApp are both using that protocol, and there are others.


Si lo lees entero veras como en su día lo fue actualizando según los de telegram iban corrigiendo los errores de diseño que se iban señalando. Y el protocolo se basa en cosas consideradas como malas prácticas, inexplicable habiendo protocolos abiertos, auditados y seguros. Por lo menos es lo que se infiere del artículo. No soy un experto en el tema pero parece un análisis fundado y contrastado (rectificaciones, contrasta la información con la fuente...).

Pensando bien lo han hecho por desconfianza/paranoia, pensando regular por ego y prepotencia, pensando mal es un honeypot. Aún así es el programa que uso por funcionalidad y usabilidad.

e

#21 Después de cómo nos la colaron en el protocolo ssl con el heartbleed, no me extrañaría que fuera lo primero. Se especuló mucho sobre si había sido una backdoor colocada a propósito. Y se demostró que no se le estaba poniendo suficiente atención a su desarrollo, que se había convertido en un engendro que no se sabía por donde cogerlo. En este contexto, hacer tu propio protocolo no es una locura.

De todas maneras, el artículo (te prometo que lo leí en su día y lo he vuelto a leer antes para refrescar) dice que el protocolo le parece extraño, que la justificación que dan para usar ese protocolo no le convence, y que preferiría que fuera otro protocolo (el mismo que usa whatsapp y signal), pero no expone ningún inconveniente concreto, sólo teorías que apuntan por dónde cree que se podría atacar, y aún no se ha explotado (que se sepa, claro) ninguna de de esas hipotéticas vulnerabilidades que anunciaban al principio en el artículo. Además, el adhominem de subestimar a los creadores de telegram por ser matemáticos en vez de criptógrafos me parece bastante pueril.

Dicho lo cual, insisto que EMHO lo importante es el servidor, que me encantaría saber qué hay ahí, y si de verdad no se puede sacar nuestros datos ni con orden judicial.

Y como diría nuestro amigo Aznar: «vaya coñazo he soltado»

redewa

#22 Lo que se puede hacer es usar Telegram para compartir mensajes cifrados con los métodos de cifrado que usan WApp/Signal modificando el cliente (que es libre) como dice #24.

E

#22 Después de cómo nos la colaron en el protocolo ssl con el heartbleed

Protocolo no, implementación. "Nos la colaron" con la implementación de OpenSSL, el protocolo sigue igual, hasta donde sé.

c

#2 Has leido todos los comentarios? Para el final del artículo nada de lo que dice el tío inicialmente es cierto...

redscare

#2 Joder, los de telegram le dan zasca tras zasca al tío en ese link (ver comentarios) lol

D

De artículo bueno no tiene nada, ni una pruieba mas allá de una conversacion por telegram con un community manager de telegram, telegram no cifra las conversaciones entre personas end to end, significa que las 2 personas y telegram pueden leer tus mensajes, en teoria ahora con whatsapp no pasa... y seria interesante que telegram hiciese lo mismo, pq nadie usa los chats secretos...

E

#15 hacer eso bien supone perder el historial de conversaciones en la nube, que conectes el dispositivo nuevo y ver lo que hablaste. Sería más seguro, pero sospecho que a la gente le gustaría menos que ahora.

D

#16 el historial en la nube se pierde en un end to end obviamente... seguridad vs privacidad

D

#15 Sí que las cifra end to end en los chats secretos. Y desde antes que lo hiciese Whatsapp.

D

#18 no, solo si usas la opcion de chat secreto, e hatsapp todas las conversaciones y grupos end to end

titali

#15 enfonces los chats secretos sólo pueden leerlos la persona que los envía/recibe de verdad?
Pero los chats normales quedan almacenados en su servidor por lo que podrían leerlos si quieren?

Con whatsapp los chats están encriptados end 2 end por defecto? O sólo lo están si haces la cosa esa de que la otra persona escanee el QR que aparece en la pantalla de tú teléfono?

La_Abuelita

#25 En el WhatsApp, activado por defecto. Lo de escanear es sólo un modo de verificarlo tú mismo. Aunque no hagas nada, está cifrado end2end

titali

#27 y hay manera de comprobar que el encriptado end 2 end esta activado por defecto de verdad en whatsapp? Lo digo porque whatsapp es de facebook, por tanto me fio de ellos un pelo o nada

La_Abuelita

#28 No hace falta que confíes en WhatsApp, está desarrollado con la organización sin ánimo de lucro, Open Whisper Systems, que dicen que sí lo está.
https://es.wikipedia.org/wiki/Signal_(software)
https://whispersystems.org/blog/whatsapp/

Lo que sí, te tienes que fiar del teléfono, y de todas las aplicaciones que tiene, porque aunque el WhatsApp en sí sea seguro, si el teléfono no lo es, es otro cuento.

E

#28 Entra en web.whatsapp.com (todavía no, primero lee todo), conéctate con el móvil ¿Ves todos tus mensajes e historial? Dos opciones:

1- Tu móvil ha enviado las claves al ordenador, habría que ver si la clave utilizada para esa transacción se ha generado en el ordenador cliente o en el servidor de whatsapp, lo segundo sería una vulnerabilidad fácil ¿Alguien puede revisarlo, no encuentro datos sobre eso?
2- La aplicación está preparada para descodificar los mensajes y mandárselos a otro equipo, muy apropiado no es. Igualmente habría que revisar si ese imagen que escaneas contiene una clave realmente privada o es una mera identificación fácil de saltar.

Como no encuentro datos sobre el sistema de comunicación de whatsapp web ni se puede ver la implementación cliente ni veo que mencionen para nada la versión web cuando hablan de la seguridad punto a punto, desconfío.

D

#25 en whatsapp end to end siempre... en telegram solo si lo solicitas...

D

#0 Buen artículo. Gracias.

D

#3 No es mío La entradilla proviene del post

TetraFreak

#11 Y yo creo que es coña

s

Hace un tiempo leí un articulo sobre Telegram y su supuesta seguridad que lamentablemente no lo encuentro ahora. Pero había un detalle muy importante, que el autor del post nombra muy al pasar, que es lo referido al tema del Open Source y que Telegram no publica el 100% del código (cliente y servidor) por lo que no se puede garantizar que el código haga lo que dicen que hace ... por ejemplo, si publicaran el 100% del código uno mismo podría compilar y publicar su propio servidor y cliente (y asegurarse que no hay cosas raras de por medio).

D

Aquí hay otro artículo que analiza la seguridad de telegram y contiene una réplica más extensa: https://hipertextual.com/2015/12/telegram-seguro-2

Lo cierto es que uno de los puntos más turbios de Telegram es que no es 100% abierto como dice #9 , aunque prometían acabar liberándolo al 100% https://telegram.org/faq#q-why-not-open-source-everything

E

#9 #10 Aunque me gustaría que se publicase el código del servidor, en lo tocante a la seguridad solo aportaría una falsa sensación.

Lo que hay que pedir si nos importa la privacidad es que las aplicaciones que nosotros ejecutamos en "nuestros" dispositivos sean seguras, no se puede depender del mensajero hoy día.

Recompilar un servidor que actúe idéntico pero registre los datos del número que quieras es trivial, lo difícil es cuando estos datos no son relevantes o comprensibles para quien no es el receptor legítimo.

Si te hablan de seguridad y esgrimen el código cerrado del servidor es que querían hablar mal y no sabían qué decir. Más allá de la presunta facilidad para encontrar bugs y agujeros entre todos, que sí sería un argumento válido si no fuera que lo importante es el cliente y del servidor hay que "desconfiar por defecto".

ann_pe

Sobre el punto 3 la cosa es que si no cambias las opciones por defecto las notificaciones de estado no se quedan en el servidor:

https://oflisback.github.io/telegram-stalking/

k

Gizmodo ya tiene encima una demanda multimillonaria que perdió contra Hulk Hogan, justo lo que le faltaba es perder otra.

jfabaf

Por cierto, si queréis tener la seguridad de una app que cifra todos los mensajes, recomendada por Edward Snowden, usad Signal:
https://es.m.wikipedia.org/wiki/Signal_(software)

Es de código abierto (tengo cliente como servidor), mensajes cifrados entre origen y destino y también base de datos local cifrada.

Yagami_Raito

Telegram es seguro!

Fuente: Telegram.

jfabaf

Aún así, no es muy seguro que tengan copia en sus servidores de TODOS tus mensajes, incluidos imágenes y vídeos. De lo único que me fío es de los chats secretos que están cifrados punto a punto.

mishagen

Es terrible que sucedan estas cosas a estas alturas y que exista gente tan credula para no darse cuenta. grrr

D

#7 El problema es que una mentira repetida mil veces...

Pakitopena

El dia en que vea una rectificación de empresas no afines a meneame como apple o microsoft sera el dia que... Todos lo sabemos, ese dia no existe.

Me hace gracia, como es telegram pues corriendo a desmentir y desprestigiar a Gizmodo

Si fuera whatsapp todos callados como putas.

maloconocido

Alienígenas!