Hace poco Telegram lanzaba un nuevo servicio, Telegram Passport, un sistema de almacenamiento en la nube que quería guardar nuestros documentos personales para compartirlos, bajo nuestra petición, con otros servicios. De esta forma y sin demasiado esfuerzo, podríamos entrar en todos los servicios que cumpliesen las reglas de Telegram Passport con nuestros datos. El problema llega ahora que, tras el análisis del código para este servicio por parte de Virgil Security, parece que el sistema no es tan seguro como desearíamos.
El problema es el hardware moderno.
Todo lo que esta empresa ha descubierto ha sido gracias a que el código de este servicio es libre, de forma que cualquiera puede auditarlo en busca de puntos débiles. Tras un completo análisis, Virgil Security analiza los puntos donde la seguridad se nota por su ausencia, usando por ejemplo código y funciones que ya han fallado en el pasado.
Otro problema añadido es el hardware del que disponemos hoy en día. Con un sistema similar al que se usa para minar criptomonedas podemos realizar un ataque de fuerza bruta con éxito contra una contraseña en unos pocos días. Esto hace que cada vez sea más complicado mantener segura nuestra información.
Con receta.
Por si destapar dichos fallos de seguridad no fuese suficiente, el mismo estudio nos da la “receta” de los pasos a seguir para conseguir saltarnos todas las protecciones. A modo de tutorial no demasiado explícito, el propio documento nos indica qué tendremos que hacer y en qué orden para lograr hacernos con el control de documentación personal de un individuo, siendo uno de los primeros pasos el ataque por fuerza bruta.
¿Conflicto de intereses?
Cuando se encuentran fallos de seguridad en una plataforma suele estar incentivado por un conflicto de intereses. Si quien descubre el error es una empresa de antivirus el objetivo suele ser mostrar lo bien que funciona dicha empresa frente a la competencia. En este caso, parece que Virgil Security ofrece un servicio similar a Telegram Passport por lo que puede que se trate más de una campaña de marketing propio que de problemas reales para los usuarios de Telegram Passport, sería cuestión de que alguien auditase a su vez el sistema de Virgil Security.
Fuente . Virgil Security.