El portavoz de Telegram, Remi Vaughn, se acercó a nosotros para refutar las afirmaciones de Wired y el jefe de WhatsApp, Will Cathcart, sobre la seguridad de la popular aplicación de chat. Según Vaughn, el artículo de Wired contiene muchos errores y el equipo editorial ignoró los comentarios y las respuestas de Telegram, lo que a su vez confundió a Cathcart.
Telegram ha compilado una lista de 9 errores en el artículo de Wired, que puede encontrar en telégrafo (una herramienta de publicación minimalista de Telegram). La publicación termina con «Esta lista se está ampliando».
Esta publicación aborda varios reclamos en el artículo de Wired, incluido el sobre el seguimiento de la ubicación; esto solo es posible si el usuario explícitamente hace que su ubicación sea visible públicamente, lo que solo el 0.01% de los usuarios ha hecho, escribe Telegram.
Una visualización del protocolo MTProto 2.0
En cuanto a la privacidad de los chats secretos, Vaughn señala que Cathcart está equivocado acerca de que el protocolo de cifrado de extremo a extremo (E2EE) de Telegram no se verifica de forma independiente. Un equipo de la Universidad de Udine de Italia ha verificado el protocolo MTProto 2.0 utilizado por Telegram para proteger sus chats; puede encontrar su documento aquí (PDF).
Tenga en cuenta que esta es una verificación del protocolo en lugar de una implementación específica. Pero la aplicación de Telegram es de código abierto y ha utilizado compilaciones reproducibles desde la versión 5.13. «Compilaciones reproducibles» significa que puede compilar el código fuente disponible públicamente y verificar que el código de máquina resultante sea idéntico al alojado en Apple App Store, Google Play Store y el propio sitio web de Telegram. Los servidores de Telegram no son de código abierto, aunque el equipo de Udine también verificó el protocolo MTProto 2.0 en presencia de servidores maliciosos.
Señalan un problema que podría romper la seguridad de los chats secretos: al iniciar un chat secreto, es vital que el usuario verifique la huella digital de las claves de autenticación a través de un canal externo seguro. De lo contrario, ataques de hombre en el medio son posibles (es decir, un tercero que escucha a escondidas y posiblemente incluso altera los mensajes). Los investigadores señalan que tal error del usuario también es posible cuando se usa la aplicación Signal.
Crear un chat secreto y verificar la clave de cifrado
Entonces, si está utilizando cualquiera de las aplicaciones, asegúrese de verificar correctamente la huella digital: un chat secreto no es realmente secreto hasta que lo haga y no puede usar el mismo u otro chat no seguro para verificar que la huella digital coincida.
