{"id":116118,"date":"2018-08-03T15:58:44","date_gmt":"2018-08-03T15:58:44","guid":{"rendered":"http:\/\/elluchador.info\/web\/?p=116118"},"modified":"2018-08-03T15:58:44","modified_gmt":"2018-08-03T15:58:44","slug":"pasaporte-de-telegram-es-vulnerable-a-ataques-de-fuerza-bruta-segun-firma-de-seguridad","status":"publish","type":"post","link":"https:\/\/elluchador.info\/?p=116118","title":{"rendered":"Pasaporte de Telegram es vulnerable a ataques de fuerza bruta, seg\u00fan firma de seguridad"},"content":{"rendered":"
\n
\n

Virgil Security, firma de seguridad cibern\u00e9tica, asegur\u00f3 que el nuevo dispositivo de identidad personal lanzado por la plataforma de mensajer\u00eda instant\u00e1nea Telegram, mejor conocido como Pasaporte Telegram, posee vulnerabilidades ante los ataques de fuerza bruta inform\u00e1tica, debido al uso de un algoritmo para las contrase\u00f1as que no es lo suficientemente seguro.<\/p>\n

En un reporte<\/a>\u00a0publicado por la empresa,\u00a0la firma habr\u00eda realizado una verificaci\u00f3n de la API<\/strong> que se encuentra en un repositorio de c\u00f3digo abierto, destacando que los niveles de seguridad de la aplicaci\u00f3n eran \u201cdecepcionantes\u201d para los est\u00e1ndares de Virgil, sobre todo en el caso de las contrase\u00f1as que aseguran la informaci\u00f3n personal.<\/p>\n

El Pasaporte Telegram es una nueva funci\u00f3n<\/a> de la plataforma de mensajer\u00eda que permitir\u00e1 cargar documentos personales en una nube descentralizada, pudiendo as\u00ed asegurar pasaportes, licencias de conducir, cuentas bancarias y direcciones personales para implementar en servicios de pagos electr\u00f3nicos, tales como ePayments, monederos para criptomonedas<\/a> e incluso Ofertas Iniciales de Moneda<\/a>.<\/p>\n

El Pasaporte Telegram posee como mecanismo para la protecci\u00f3n de los datos personales de cada usuario una contrase\u00f1a que trabaja con el algoritmo SHA-512<\/strong>. La empresa afirma que sus documentos de identidad y datos personales est\u00e1n protegidos en formato criptogr\u00e1fico, el cual seg\u00fan Virgil se trata de \u201cun algoritmo hash que no est\u00e1 destinado a contrase\u00f1as hash\u201d.<\/p>\n

En este sentido, la firma de seguridad destaca que el SHA-512 es un algoritmo para contrase\u00f1as poco seguro, vulnerabilidad que se ha comprobado luego de la perdida de 50 millones de contrase\u00f1as por parte de Living Social y unas 8 millones de contrase\u00f1as en Linkedin, las cuales fueron pirateadas por medio de fuerza bruta inform\u00e1tica. O sea, utilizando un CPU de alto nivel que se dedica a descifrar cada uno de los caracteres criptogr\u00e1ficos.<\/p>\n

Virgil cuestiona que el Pasaporte Telegram no usa firmas digitales, las cuales podr\u00edan ayudar a que la manipulaci\u00f3n de los datos de un usuario sean m\u00e1s f\u00e1ciles de identificar y mucho m\u00e1s dif\u00edciles de falsificar. Asimismo, tambi\u00e9n confirma que con 10 CPU de alto nivel, los delincuentes puede descifrar 1 de las 8 claves del alfabeto de una contrase\u00f1a<\/strong> en tan s\u00f3lo 4,7 d\u00edas, por un precio que oscila entre los 135 d\u00f3lares y los 5 d\u00f3lares.<\/p>\n

La firma puntualiza que si Telegram utilizara algoritmos como Scrypt, BCrypt y Argon2 los datos de los usuarios estar\u00edan mucho m\u00e1s protegidos, puesto que estos algoritmos ralentizan los procesos de pirater\u00eda y contrarrestan los procesos de fuerza bruta. Aunque estos algoritmos podr\u00edan hacer a la funci\u00f3n considerablemente m\u00e1s costosa, tambi\u00e9n endurecer\u00edan su seguridad<\/a>.<\/p>\n

Nubes y cifrados aleatorios poco seguros<\/h2>\n

Adem\u00e1s de la contrase\u00f1a, Virgil afirma que el c\u00f3digo para generar la clave de cifrado es \u201ccasi\u201d aleatorio, ya que ajusta el primer byte de la matriz en un grupo de bytes aleatorios \u201cde manera que la suma de estos bytes sea 0 mod 239\u201d, destaca el reporte.<\/p>\n

La empresa propone que los cifrados como HMAC o AEAD son mucho m\u00e1s seguros y no aceleran la capacidad de la fuerza bruta inform\u00e1tica, como si lo hace este c\u00f3digo dise\u00f1ado por Telegram. Un compendio de elementos que expone a\u00fan m\u00e1s la informaci\u00f3n de los usuarios a los piratas inform\u00e1ticos.<\/p>\n

Por si fuera poco, en el caso de los elementos subidos a la nube de Telegram, Virgil confirm\u00f3 que el m\u00e9todo de cifrado de datos agrega de 32 a 255 bytes aleatorios a los textos que se cifran<\/strong>, as\u00ed como la clave \u201ccasi\u201d aleatoria se concatena con los hash de datos.<\/p>\n

En este sentido, la\u00a0 nube de Telegram<\/a> recibe textos sin formato, con datos aleatorios, as\u00ed como una clave aleatoria \u201ccasi\u201d encriptada con contrase\u00f1a SHA-512, caracter\u00edsticas que hacen a\u00fan m\u00e1s f\u00e1cil el acceso a los datos personales del usuario:<\/p>\n<\/div>\n<\/div>\n

\n
<\/div>\n
\n
\n

Dada la sensibilidad y el valor de los documentos que se almacenan: pasaportes, licencias de conducir, estados financieros, contratos de alquiler y m\u00e1s, el pasaporte ser\u00e1 un objetivo de alto valor para los atacantes. El hecho de que Telegram haya \u201clanzado su propia criptograf\u00eda\u201d y no haya implementado una soluci\u00f3n segura para este producto de alto perfil es alarmante y abre la puerta a ataques tanto internos como externos.<\/span><\/p>\n

Virgil Security<\/strong><\/div>\n<\/div>\n<\/div>\n

\n
\n

M\u00e1s all\u00e1 de las cr\u00edticas de Virgil, la firma reconoci\u00f3 la buena voluntad de Telegram al publicar en c\u00f3digo abierto su herramienta<\/strong>, pr\u00e1ctica que permite que expertos y desarrolladores puedan revisar la funci\u00f3n y brindar soluciones para mejoras de seguridad. Una posibilidad que podr\u00eda cambiar el destino de la plataforma.<\/p>\n

Criptonoticias.com<\/strong><\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Virgil Security, firma de seguridad cibern\u00e9tica, asegur\u00f3 que el nuevo dispositivo de identidad personal lanzado por la plataforma de mensajer\u00eda instant\u00e1nea Telegram, mejor conocido como Pasaporte Telegram, posee vulnerabilidades ante los ataques de fuerza bruta inform\u00e1tica, debido al uso de un algoritmo para las contrase\u00f1as que no es lo suficientemente seguro. En un reporte\u00a0publicado por […]<\/p>\n","protected":false},"author":2,"featured_media":116119,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":{"0":"post-116118","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tecnologia"},"_links":{"self":[{"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/posts\/116118","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/elluchador.info\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=116118"}],"version-history":[{"count":0,"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/posts\/116118\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/media\/116119"}],"wp:attachment":[{"href":"https:\/\/elluchador.info\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=116118"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/elluchador.info\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=116118"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/elluchador.info\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=116118"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}