La aplicación inexpugnable no parece serlo tanto a fin de cuentas. O al menos su servicio a través de otras aplicaciones no oficiales, según ha descubierto un investigador español. Así, se ha descubierto un fallo en la aplicación de mensajes Telegram que podría poner en jaque la privacidad de algunos usuarios. Sin embargo, no hay que alarmarse del todo aún, ya que al parecer el problema sólo afecta a los clientes no oficiales, manteniendo la seguridad de la que alardea en las aplicaciones oficiales para Android y iPhone disponibles.
La información surge del blog del Instituto Nacional de Tecnologías de la Comunicación, donde el experto en seguridad Jesús Díaz publica un artículo explicando el posible fallo del sistema de mensajería. Una vulnerabilidad que permitiría a una tercera persona introducirse entre medias del servidor y el receptor para captar su información. Concretamente, las pruebas aseguran la posibilidad de conocer la información de los mensajes que no son enviados a través de los famosos chats secretos, bloquear otros mensajes, modificar el remitente y contenido de estos antes de que lleguen al usuario real, comenzar nuevas conversaciones sin permiso, obtener la lista de contactos del usuario o incluso abrir y aceptar chats secretos. Motivos más que suficientes para echar por tierra todas las razones de ser de esta aplicación.
Para ello, Díaz ha utilizado una técnica conocida como Man In The Middle (hombre en el medio), que permite colarse en el tramo entre el servidor de Telegram y el usuario receptor. Algo que ha conseguido gracias a otra de las características que ensalza la propia Telegram desde su web: su apertura. Y es que el servicio ofrece sus herramientas de creación de aplicaciones (API) y su código de forma abierta, para que cualquier usuario pueda utilizarlos a la hora de crear su propia aplicación de forma cómoda y sencilla. Cuestión que, en este caso, se puede aprovechar para crear una aplicación con truco con el que ponerse en un punto intermedio en el que pasa desapercibido ante el usuario final y el servicio para transformar u obtener información.
Al parecer, este experto en seguridad ya ha contactado con los responsables de Telegram para poner en su conocimiento esta posible brecha de seguridad. Sin embargo, según Díaz, la compañía ha respondido informando de la imposibilidad de ofrecer el mismo tipo de seguridad en las aplicaciones o clientes no oficiales creadas con algún tipo de vulnerabilidad. Es decir, que no responde ante los posibles fallos que tengan aplicaciones que no sean las suyas o las que han sido verificadas por ellos.
Por tanto, aunque la vulnerabilidad puede ser aprovechada en aplicaciones no oficiales de Telegram, parece que las que sí lo son siguen siendo ese bastión inexpugnable que afirman. Tanto es así que siguen ofreciendo un premio de 200.000 dólares para aquellos que encuentren algún tipo de problema, aunque parece que tiene que ser en estas herramientas oficiales. No hay que temer, al menos por el momento, que las conversaciones de Telegram sean leídas por terceros, más aún si se utilizan los chats secretos, que ofrecen aún más seguridad.
