Telegram tiene una fuga de seguridad: al descubierto contraseñas y documentos

Telegram tiene una fuga de seguridad: al descubierto contraseñas y documentos

La app Telegram Passport no soporta ciberataques

INNOVA+

A principios de semana, Telegram apostó por una nueva app Telegram X para sortear la censura y mejorar la seguridad en su plataforma, una de sus fortalezas ante sus competidores. Sin embargo, la aplicación de los hermanos Dúrov también tiene problemas.

El desarrollo de Telegram Passport ha abierto una puerta a los ciberatacantes que permite el acceso a contraseñas y a documentos oficiales almacenados en la plataforma.

La vulnerabilidad reside en el sistema de protección de contraseñas SHA-512 que usa Telegram Passport, que emplea un algoritmo que no está destinado para el almacenamiento de este tipo de claves y resulta vulnerable, como ha alertado la compañía de ciberseguridad Virgil Security a través de su web.

El pasado 26 de julio, Telegram integró en su aplicación la nueva herramienta Passport, un método de autenticación para los servicios online al que los usuarios pueden subir sus documentos oficiales como pasaportes, carnet de conducir y datos bancarios, e identificarse con ellos.

La desarrolladora de Telegram explicó al anunciar la función que protegía la seguridad de los archivos y las claves a través de mecanismos de encriptación de extremo a extremo, presentes también en los mensajes de la app.

Passport utiliza una contraseña como único mecanismo de protección para identificarse en servicios externos. Debido al protocolo de encriptación utilizado, los ciberatacantes pueden utilizar tarjetas gráficas de alto rendimiento como las utilizadas para el minado de criptomonedas para generar de manera automática combinaciones de caracteres al azar.

Mediante este mecanismo es posible averiguar cualquier contraseña de ocho caracteres de longitud en 4,7 días. De esta manera, un ataque de fuerza bruta podría adivinar cualquier contraseña de Telegram Passport con un coste de electricidad de entre 5 y 135 dólares (de 4,3 a 116 euros, al cambio), según los expertos en ciberseguridad.

 

Fotos

Vídeos