Miércoles 12/12/2018.

REDES SOCIALES

Tecno

Telegram deja las contraseñas y los documentos oficiales desprotegidos

  • La aplicación de mensajería Telegram incluye una vulnerabilidad a través de su función Telegram Passport

La aplicación de mensajería Telegram incluye una vulnerabilidad a través de su función Telegram Passport, recientemente añadida, que emplea un protocolo para almacenar contraseñas que las deja desprotegidas ante ciberataques de fuerza bruta, así como los documentos oficiales almacenados.

Esta vulnerabilidad reside en el sistema de protección de contraseñas SHA-512 que usa Telegram Passport, que emplea un algortimo que no está destinado para el almacenamiento de este tipo de claves y resulta vulnerable, como ha alertado la compañía de ciberseguridad Virgil Security a través de su web.

El pasado 26 de julio, Telegram integró en su aplicación la nueva herramienta Passport, un método de autenticación para los servicios 'online' al que los usuarios pueden subir sus documentos oficiales como pasaportes, carnet de conducir y datos bancarios, e identificarse con ellos.

La desarrolladora de Telegram explicó al anunciar la función que protegía la seguridad de los archivos y las claves a través de mecanismos de encriptación de extremo a extremo, presentes también en los mensajes de Telegram.

No obstante, desde Virgil Security apuntan que esta API emplea un protocolo de encriptación de archivos SHA-512 inadecuado para cifrar contraseñas, que quedan desprotegidas ante ciberataques de fuerza bruta.

Passport utiliza una contraseña como único mecanismo de protección para identificarse en servicios externos. Debido al protocolo de encriptación utilizado, los ciberatacantes pueden utilizar tarjetas gráficas de alto rendimiento como las utilizadas para el minado de criptomonedas para generar de manera automática combinaciones de caracteres al azar.

Mediante este mecanismo es posible averiguar cualquier contraseña de ocho caracteres de longitud en 4,7 días. De esta manera, un ataque de fuerza bruta podría adivinar cualquier contraseña de Telegram Passport con un coste de electricidad de entre 5 y 135 dólares (de 4,3 a 116 euros, al cambio), según estimaciones de Virgil.

Utilizando mecanismos similares, se han producido filtraciones de contraseñas masivas recientemente. LinkedIn perdió las contraseñas de 8 millones de usuarios en el año 2012 a través de un ataque, y en el caso en 2013 de la web de descuentos LivingSocial, perteneciente a Groupon, la cifra ascendió a los 50 millones de cuentas. En ambos casos utilizaban el protocolo de encriptación SHA-1.

La compañía de ciberseguridad ha llamado la atención sobre el uso de la encriptación de extremo a extremo, que ha definido como un "arma de doble filo" debido a la confianza de los usuarios en sistemas que en ocasiones no pueden definirse como "verdadera encriptación de extremo a extremo", recalcan.


Seguir a teinteresa en...

KIT BUENOS DÍAS (El mejor resumen de prensa en tu mail)

Recibir noticias

Kit Buenos Días

Diciembre 2018
Lun Mar Mie Jue Vie Sab Dom
1 2
3 4 5 6 7 8 9
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31