Virgil Security, firma de seguridad cibernĂ©tica, asegurĂł que el nuevo dispositivo de identidad personal lanzado por la plataforma de mensajerĂa instantĂĄnea Telegram, mejor conocido como Pasaporte Telegram, posee vulnerabilidades ante los ataques de fuerza bruta informĂĄtica, debido al uso de un algoritmo para las contraseñas que no es lo suficientemente seguro.
En un reporte publicado por la empresa, la firma habrĂa realizado una verificaciĂłn de la API que se encuentra en un repositorio de cĂłdigo abierto, destacando que los niveles de seguridad de la aplicaciĂłn eran «decepcionantes» para los estĂĄndares de Virgil, sobre todo en el caso de las contraseñas que aseguran la informaciĂłn personal.
El Pasaporte Telegram es una nueva funciĂłn de la plataforma de mensajerĂa que permitirĂĄ cargar documentos personales en una nube descentralizada, pudiendo asĂ asegurar pasaportes, licencias de conducir, cuentas bancarias y direcciones personales para implementar en servicios de pagos electrĂłnicos, tales como ePayments, monederos para criptomonedas e incluso Ofertas Iniciales de Moneda.
El Pasaporte Telegram posee como mecanismo para la protecciĂłn de los datos personales de cada usuario una contraseña que trabaja con el algoritmo SHA-512. La empresa afirma que sus documentos de identidad y datos personales estĂĄn protegidos en formato criptogrĂĄfico, el cual segĂșn Virgil se trata de «un algoritmo hash que no estĂĄ destinado a contraseñas hash».
En este sentido, la firma de seguridad destaca que el SHA-512 es un algoritmo para contraseñas poco seguro, vulnerabilidad que se ha comprobado luego de la perdida de 50 millones de contraseñas por parte de Living Social y unas 8 millones de contraseñas en Linkedin, las cuales fueron pirateadas por medio de fuerza bruta informåtica. O sea, utilizando un CPU de alto nivel que se dedica a descifrar cada uno de los caracteres criptogråficos.
Virgil cuestiona que el Pasaporte Telegram no usa firmas digitales, las cuales podrĂan ayudar a que la manipulaciĂłn de los datos de un usuario sean mĂĄs fĂĄciles de identificar y mucho mĂĄs difĂciles de falsificar. Asimismo, tambiĂ©n confirma que con 10 CPU de alto nivel, los delincuentes puede descifrar 1 de las 8 claves del alfabeto de una contraseña en tan sĂłlo 4,7 dĂas, por un precio que oscila entre los 135 dĂłlares y los 5 dĂłlares.
La firma puntualiza que si Telegram utilizara algoritmos como Scrypt, BCrypt y Argon2 los datos de los usuarios estarĂan mucho mĂĄs protegidos, puesto que estos algoritmos ralentizan los procesos de piraterĂa y contrarrestan los procesos de fuerza bruta. Aunque estos algoritmos podrĂan hacer a la funciĂłn considerablemente mĂĄs costosa, tambiĂ©n endurecerĂan su seguridad.
Nubes y cifrados aleatorios poco seguros
Ademås de la contraseña, Virgil afirma que el código para generar la clave de cifrado es «casi» aleatorio, ya que ajusta el primer byte de la matriz en un grupo de bytes aleatorios «de manera que la suma de estos bytes sea 0 mod 239», destaca el reporte.
La empresa propone que los cifrados como HMAC o AEAD son mucho mĂĄs seguros y no aceleran la capacidad de la fuerza bruta informĂĄtica, como si lo hace este cĂłdigo diseñado por Telegram. Un compendio de elementos que expone aĂșn mĂĄs la informaciĂłn de los usuarios a los piratas informĂĄticos.
Por si fuera poco, en el caso de los elementos subidos a la nube de Telegram, Virgil confirmó que el método de cifrado de datos agrega de 32 a 255 bytes aleatorios a los textos que se cifran, asà como la clave «casi» aleatoria se concatena con los hash de datos.
En este sentido, la nube de Telegram recibe textos sin formato, con datos aleatorios, asĂ como una clave aleatoria «casi» encriptada con contraseña SHA-512, caracterĂsticas que hacen aĂșn mĂĄs fĂĄcil el acceso a los datos personales del usuario:
Dada la sensibilidad y el valor de los documentos que se almacenan: pasaportes, licencias de conducir, estados financieros, contratos de alquiler y mĂĄs, el pasaporte serĂĄ un objetivo de alto valor para los atacantes. El hecho de que Telegram haya «lanzado su propia criptografĂa» y no haya implementado una soluciĂłn segura para este producto de alto perfil es alarmante y abre la puerta a ataques tanto internos como externos.
Virgil Security
MĂĄs allĂĄ de las crĂticas de Virgil, la firma reconociĂł la buena voluntad de Telegram al publicar en cĂłdigo abierto su herramienta, prĂĄctica que permite que expertos y desarrolladores puedan revisar la funciĂłn y brindar soluciones para mejoras de seguridad. Una posibilidad que podrĂa cambiar el destino de la plataforma.
Imagen destacada por mangpor2004 / stock.adobe.com