¿Es realmente Telegram un servicio seguro?




Telegram se ha convertido en una de las apps de mensajería más descargadas por su foco en la seguridad pero ¿es realmente un servicio seguro?

Telegram se ha convertido en el gran fenómeno de las últimas semanas; un servicio de mensajería instantánea multiplataforma gratuito que enarbola la seguridad como bandera distintiva. La expectación que está levantando Telegram es impresionante y es algo que queda bien reflejado en el exponencial crecimiento que está experimentando en su base de usuarios (200.000 nuevos usuarios por día en España); evidentemente, su foco en la seguridad ha sido un importante tractor en su crecimiento pero ¿es Telegram un servicio seguro?

Particularmente, creo que antes de entrar en materia, es más que recomendable pensar por un momento qué entendemos por seguridad. La seguridad es algo muy subjetivo, no es más que un estado en el que consideramos que los riesgos que implica usar un servicio o un dispositivo están a un nivel que podemos asumir. Dicho de otra forma, el riesgo de que nuestros datos se vean expuestos está a un nivel que consideramos asumible porque las medidas de control o cifrado que implementa un servicio son tales que nos generan confianza en su uso.

La seguridad es algo muy subjetivo, está relacionado con la confianza que depositamos en un servicio o en un dispositivo.

¿Y por qué hablar de lo que significa seguridad? Teniendo en cuenta que la seguridad es un concepto subjetivo tan vinculado a la confianza o la fiabilidad de algo, me parece interesante reflexionar sobre este tema antes de hablar del fenómeno de Telegram y la seguridad de la aplicación. El hype que ha levantado este servicio es impresionante, en un segmento en el que WhatsApp es el gran rey y donde parece que es complicado hacerse un hueco; Telegram ha captado la atención de los usuarios fusionando el "quemar después de leer" de Snapchat y solventando las carencias en la seguridad de WhatsApp (el gran talón de Aquiles del servicio y donde, precisamente, BBM estaba intentándose hacer un hueco). A nivel de marketing lo han hecho estupendamente bien pero, tras llamar la atención, es el momento de demostrar tus valores.

Honestamente, creo que aún es muy pronto para hablar de Telegram como "el sistema de mensajería seguro"; hablar de seguridad tan categóricamente es prematuro y, en el terreno de la seguridad, hay muchas voces de peso que opinan en este sentido. Efectivamente, Telegram expone en sus FAQ que su servicio es seguro y, para demostrarlo, explica con bastante nivel de detalle cómo funciona su algoritmo de cifrado y lo implementan en Java para que pueda ser auditado además de hacer referencia a su formación en el ámbito de las matemáticas.


Que Telegram afirme en sus FAQs que es seguro no significa nada. Su transparencia al publicar código y documentación sí que es un buen indicador.

Ofrecer la documentación, sin duda, es tender un guante a que cualquier experto independiente audite el esquema en el que se apoya el servicio y encuentre vulnerabilidades o certifique que, realmente, nos encontramos ante un servicio seguro. En un primer vistazo, Telegram ofrece un enrevesado sistema de cifrado en el que las comunicaciones están cifradas entre clientes y entre clientes y servidores; de hecho, el servicio está muy seguro de su robustez, tanto es así que ha retado a los expertos en seguridad a encontrar vulnerabilidades y les ha ofrecido una recompensa difícil de rechazar: 200.000 dólares para el primero que pueda romper el cifrado de Telegram.

Dejando el rato a un lado, creo que Telegram aún tiene mucho que demostrar para alzarse con esa corona de "la aplicación de mensajería segura" que ya se ha atribuido. Indicar en las FAQs que tu servicio es seguro no te hace digno de la confianza de los usuarios; abrir tu código y tu documentación sí que es un importante paso adelante pero también tienes que estar dispuesto a recibir las críticas de los que dediquen su tiempo a realizar una auditoría o encuentren algún escenario en el que se podría romper el cifrado e interceptar los mensajes de los usuarios.

El revuelto de Telegram ha conseguido, además de aumentar el número de usuarios, llamar la atención de los que realmente saben de seguridad. Expertos en seguridad como Geoffroy Couprie (que también es desarrollador de VLC) ha publicado un interesante análisis sobre Telegram que ha derivado en un buen debate entre el autor del blog y Telegram. Couprie ponía en duda la seguridad del algoritmo de cifrado y, aunque fuese algo enrevesado, no lo consideraba tan seguro como se estaba anunciando (al menos a primera vista). Moxie Marlinspike, que trabaja en el proyecto TextSecure de Open WhisperSystems (que se integrará en CyanogenMod), también ha sido algo crítico con el reto de los 200.000 dólares y la supuesta seguridad de la plataforma.


Aún es pronto para afirmar que Telegram es seguro. Debemos ser prudentes.

¿Y entonces qué podemos esperar de Telegram? Particularmente, ante de lanzar las campanas al vuelo y elevar a un pedestal a Telegram, creo que deberíamos ser prudentes y dejar pasar un mes para ver qué resultados ofrecen las distintas auditorías que, sin lugar a dudas, están haciendo expertos en seguridad de todo el mundo.

Telegram tiene muchas cartas a su favor para luchar contra WhatsApp y, sin duda alguna, su apuesta por la transparencia es un buen signo de los seguros que están de su producto pero, aún así, creo que es mejor auditar y luego afirmar categóricamente.

De todas formas, Telegram no está sola en este segmento, Cryptocat lleva tiempo trabajando en esa senda y tampoco debemos olvidar el trabajo de TextSecure que, además, promete estar presente en CyanogenMod.

Comentarios

Entradas populares de este blog

Dabbleboard, una pizarra para hacer más productivas las reuniones

Community Managers: Una fórmula sencilla de medir el ROI para Pymes

5 procesadores de texto alternativos y no convencionales