Barrapunto

Que tiene una seguridad mejorable es una cosa y decir que es una estafa es mucho decir. Ya he leído dos artículos cuestionando con datos la seguridad de Telegram, y lo que me ha llamado la atención en los dos es que los creadores de Telegram han respondido en los comentarios sin escurrir el bulto. Lo que me dice que, aunque esté todo aun muy verde, va en la buena dirección.

Actualmente existe un desafío para descifrar los mensajes del chat privado y se paga con 200.000$. Pavel Durov ha anunciado que también lanzará un desafío en el que se incluya un ataque MITM en unos meses, lo que me dice que están trabajando en mejorar la seguridad de los servidores y por eso aun no quieren liberar el código del servidor.

Yo personalmente veo eso como maniobras evasivas. No pueden decir que la cagaron, así que postponen los problemas, diciendo a todo que "se verá en el futuro". Considero que una falsa sensación de seguridad es peor que no tener ninguna seguridad, pero saberlo. Por eso creo que, actualmente, es una mala recomendación.

El llamarlo estafa es debido a que su principal afirmación de marketing es el tema de la seguridad, y no se va con la verdad por delante en ello. Si pusiesen en la página principal, o al menos un poco más visible que actualmente, el hecho de que el cifrado que usan en las conversaciones normales es solo entre cliente y servidor, me limitaría a quejarme del apartado técnico.

Por último, todos los expertos coinciden en que no se debe crear un mecanismo criptográfico propio si no se sabe muy bien lo que se hace: en caso contrario, es mejor utilizar uno de los cientos de sistemas ya diseñados por expertos y probados a lo largo del tiempo que existen. En este caso, Jabber y OTR son la solución experta y probada. Si realmente abogasen por algo abierto y seguro, habrían hecho un cliente cómodo y bonito para esos standards. El no hacerlo es ir en contra de sus supuestos principios.

No se trata sólo de que alguien que intercepte la comunicación la pueda descifrar. Eso es relativamente fácil, basta con usar SSL con el servidor.

Se trata de que ni ellos puedan descifrarlo, y allí parece que lo único que han hecho es marear la perdiz y dar un simulacro de seguridad. Perece que ellos sí pueden hacer de "Man in de Middle" con total impunidad, la NSA ya sabe con quien tiene que hablar.

Mejora Whatsapp en que la comunicación son el servidor no es en abierto, la empeora en que guarda los mensajes. Respecto a que ellos no tengan acceso al mensaje, no añaden nada sobre whatsapp... salvo hacernos creer que no tienen acceso.