Barrapunto

Que tiene una seguridad mejorable es una cosa y decir que es una estafa es mucho decir. Ya he leído dos artículos cuestionando con datos la seguridad de Telegram, y lo que me ha llamado la atención en los dos es que los creadores de Telegram han respondido en los comentarios sin escurrir el bulto. Lo que me dice que, aunque esté todo aun muy verde, va en la buena dirección.

Actualmente existe un desafío para descifrar los mensajes del chat privado y se paga con 200.000$. Pavel Durov ha anunciado que también lanzará un desafío en el que se incluya un ataque MITM en unos meses, lo que me dice que están trabajando en mejorar la seguridad de los servidores y por eso aun no quieren liberar el código del servidor.

No, en este caso no deberias preocuparte de la NSA, sino del FSB.

Hola,

Están muy bien as referencias para desacreditar. Per me surgen dudas (?)
Whatsapp no tienen ningún tipo de medida de seguridad, la empresa es tremendamente "obscura", y nadie abrió o movió un dedo para cuestionar nada, se aceptó como el programa para reemplazar el SMS de facto, sin más... aaaayy! nos dan algo gratis (que no libre) y nos tiramos de cabeza, como en Facebook...

Seguro lo que se dice seguro 100% no hay nada; pero entre una app que no ha tenido en sus prioridades ni el más mínimo interés por la seguridad y una alternativa que al menos hace un esfuerzo por tomar la seguridad como algo prioritario me quedo con lo segundo (lo menos malo).

A parte de todo esto, conceptualmente le da vueltas: el código libre en la parte Cliente ofrece innumerables ventajas como los clientes no oficiales (que ya están surgiendo) para todos los gustos y colores. Además disponer de una API ofrece muchas posibilidades de integración... y lo mejor... si un día el proyecto se aparta de la filosofía actual puede surgir un 'fork' que garantice la continuidad.

De momento lo uso (Whatsapp ni lo tengo instalado), pero me gustaría que también liberen el código de la parte servidor. Parece que es posible he leído en alguna entrevista al los creadores. Lo interesante podría ser aportar nodos de computación las empresas que quieran, como conceptualmente está pensado DIASPORA* (https://joindiaspora.com)"

Sobre tus referencias, interesadas o desinteresadas, se te olvidó copiar las discusión en el mismo hilo que rebaten lo que calificas como una "estafa":

====

Thank you for the feedback, but your article contains serious mistakes, most likely based on misunderstading the setup. Kindly take a look at this detailed scheme:

http://core.telegram.org/mtproto/description

> the server can perform a MITM attack.
> you cannot detect MITM between you and your peers.

NOT true. You can compare key visualization in the clients.

> Yes, a lot of messages will probably share the same AES key and IV.

NOT true. AES key and iv is different for each message because it depends on the message contents (msg_id and sequence no are always different).

As a result, no real threats to the Telegram protocol have been identified yet.

====

Sencillamente no entiendo el pánico a que hayan alternativas a estándares, que no son estándares, pero que socialmente se nos ofrecen como tal. Quizás el Whatsapp sea la herramienta perfecta para un usuario-tipo y Telegram para otros... como Windows y Linux, lo usan perfiles de usuarios diferentes.

Dejemos que cada cual use lo que quiera, y que existan alternativas (la vida es muy aburrida con la verdad oficial para todo)... a mi lo que me parece una "estafa" es que empresas privadas como Google, FaceBook o WhatsApp acumulen datos privados de miles de millones de personas y tengan más información nuestra que nuestras madres... y a espaldas de los gobiernos blanqueen dinero en paraísos fiscales. Eso si es una estafa pero de las piramidales.

Un saludo