Virgil Security, firma de seguridad cibernética, aseguró que el nuevo dispositivo de identidad personal lanzado por la plataforma de mensajería instantánea Telegram, mejor conocido como Pasaporte Telegram, posee vulnerabilidades ante los ataques de fuerza bruta informática, debido al uso de un algoritmo para las contraseñas que no es lo suficientemente seguro.
En un reporte publicado por la empresa, la firma habría realizado una verificación de la API que se encuentra en un repositorio de código abierto, destacando que los niveles de seguridad de la aplicación eran «decepcionantes» para los estándares de Virgil, sobre todo en el caso de las contraseñas que aseguran la información personal.
El Pasaporte Telegram es una nueva función de la plataforma de mensajería que permitirá cargar documentos personales en una nube descentralizada, pudiendo así asegurar pasaportes, licencias de conducir, cuentas bancarias y direcciones personales para implementar en servicios de pagos electrónicos, tales como ePayments, monederos para criptomonedas e incluso Ofertas Iniciales de Moneda.
El Pasaporte Telegram posee como mecanismo para la protección de los datos personales de cada usuario una contraseña que trabaja con el algoritmo SHA-512. La empresa afirma que sus documentos de identidad y datos personales están protegidos en formato criptográfico, el cual según Virgil se trata de «un algoritmo hash que no está destinado a contraseñas hash».
En este sentido, la firma de seguridad destaca que el SHA-512 es un algoritmo para contraseñas poco seguro, vulnerabilidad que se ha comprobado luego de la perdida de 50 millones de contraseñas por parte de Living Social y unas 8 millones de contraseñas en Linkedin, las cuales fueron pirateadas por medio de fuerza bruta informática. O sea, utilizando un CPU de alto nivel que se dedica a descifrar cada uno de los caracteres criptográficos.
Virgil cuestiona que el Pasaporte Telegram no usa firmas digitales, las cuales podrían ayudar a que la manipulación de los datos de un usuario sean más fáciles de identificar y mucho más difíciles de falsificar. Asimismo, también confirma que con 10 CPU de alto nivel, los delincuentes puede descifrar 1 de las 8 claves del alfabeto de una contraseña en tan sólo 4,7 días, por un precio que oscila entre los 135 dólares y los 5 dólares.
La firma puntualiza que si Telegram utilizara algoritmos como Scrypt, BCrypt y Argon2 los datos de los usuarios estarían mucho más protegidos, puesto que estos algoritmos ralentizan los procesos de piratería y contrarrestan los procesos de fuerza bruta. Aunque estos algoritmos podrían hacer a la función considerablemente más costosa, también endurecerían su seguridad.
Nubes y cifrados aleatorios poco seguros
Además de la contraseña, Virgil afirma que el código para generar la clave de cifrado es «casi» aleatorio, ya que ajusta el primer byte de la matriz en un grupo de bytes aleatorios «de manera que la suma de estos bytes sea 0 mod 239», destaca el reporte.
La empresa propone que los cifrados como HMAC o AEAD son mucho más seguros y no aceleran la capacidad de la fuerza bruta informática, como si lo hace este código diseñado por Telegram. Un compendio de elementos que expone aún más la información de los usuarios a los piratas informáticos.
Por si fuera poco, en el caso de los elementos subidos a la nube de Telegram, Virgil confirmó que el método de cifrado de datos agrega de 32 a 255 bytes aleatorios a los textos que se cifran, así como la clave «casi» aleatoria se concatena con los hash de datos.
En este sentido, la nube de Telegram recibe textos sin formato, con datos aleatorios, así como una clave aleatoria «casi» encriptada con contraseña SHA-512, características que hacen aún más fácil el acceso a los datos personales del usuario:
Dada la sensibilidad y el valor de los documentos que se almacenan: pasaportes, licencias de conducir, estados financieros, contratos de alquiler y más, el pasaporte será un objetivo de alto valor para los atacantes. El hecho de que Telegram haya «lanzado su propia criptografía» y no haya implementado una solución segura para este producto de alto perfil es alarmante y abre la puerta a ataques tanto internos como externos.
Virgil Security
Más allá de las críticas de Virgil, la firma reconoció la buena voluntad de Telegram al publicar en código abierto su herramienta, práctica que permite que expertos y desarrolladores puedan revisar la función y brindar soluciones para mejoras de seguridad. Una posibilidad que podría cambiar el destino de la plataforma.
Imagen destacada por mangpor2004 / stock.adobe.com
