Algoritmo de telegramas: Análisis rápido (MTProto)

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Telegram Messenger es una aplicación de mensajería instantánea encriptada multiplataforma, disponible en un modelo freemium y alojada en una nube. Con sede en Dubai, Telegram cuenta con más de 900 millones de usuarios.

Pero... ¿es suficiente?

Seguro que el 75% de ellos están satisfechos con sus servicios, pero eso no es argumento.

Te explico cómo funciona.

Antes de preguntar por la seguridad de una plataforma, no se lo preguntes a ellos mismos porque harán todo lo posible por racionalizarte y asegurarte lo "mejor".

Telegram utiliza su propio protocolo de cifrado llamado "MTProto", MTProto utiliza el algoritmo AES (Advanced Encryption Standard) para el cifrado simétrico.

Para asegurar la integridad de los datos -> MTProto utiliza el algoritmo hash SHA-256. Este algoritmo produce un compendio de 256 bits del mensaje, lo que permite comprobar si los datos han sido modificados.

Para el intercambio seguro de claves -> MTProto utiliza RSA (Rivest-Shamir-Adleman). RSA es un algoritmo de cifrado asimétrico que utiliza un par de claves (pública y privada) para asegurar el intercambio de claves simétricas entre las partes.

Protocolos de seguridad de las comunicaciones -> MTProto también integra mecanismos de protección contra ataques comunes, como los ataques de repetición o los ataques man-in-the-middle. Esto incluye el uso de claves temporales y protocolos de generación de claves.

Si nos fijamos ahora en estas técnicas de cifrado podemos ver que se han encontrado múltiples vulnerabilidades en el pasado archivado y en el presente:

-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312

He aquí una fuente un poco más detallada: https: //cve.netmanageit.com/cve/CVE-2023-45312

-> Publicado : 2023-10-10 21:15

Como el código de la vulnerabilidad indica esta vulnerabilidad específica es reciente.

-> CWE-94
Este código CWE significa "Control Inadecuado de la Generación de Código ('Inyección de Código')"
Y esto forma parte de una vulnerabilidad de nivel severo.

Telegram hace múltiples actualizaciones de su protocolo pero esto no es suficiente porque lo que se cifra se puede descifrar y siempre habrá una vulnerabilidad.

Voy a parar aquí porque sino tendría que escribir varios párrafos sobre el algoritmo de cifrado de telegram.

Si quieres usar una mensajería cifrada mejor para cualquier otra cosa, usa keybase o si quieres usar telegram absolutamente, cifra tu contenido tú mismo.
 

miner21

Don't buy from me
Resident
Language
🇺🇸
Joined
Sep 15, 2023
Messages
542
Reaction score
254
Points
63
Gracias por el artículo. Si vas a usar telegram, ¿te ayudaría encriptar tú mismo los mensajes con información sensible en una tercera aplicación? Telegram siempre me ha dado malas vibraciones.
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Claro que se puede utilizar muy bien telegram encriptando lo que se importa de uno mismo, como imágenes, vídeos, etc.

Descifrar los mensajes no es realmente un problema excepto si son mensajes muy sensibles que podrían causarte problemas, en este caso te aconsejo que utilices un encriptador XOR o si realmente quieres que nadie acceda entonces encripta en AES-256 o XChaCha20 (preferible)
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
XChaCha20 es preferible por la velocidad, pero el mejor es AES-256 si quieres una encriptación fuerte pero te llevará más tiempo.
 

hermano

Don't buy from me
Resident
Language
🇷🇺
Joined
Jun 18, 2023
Messages
52
Reaction score
50
Points
18
Telegram no es seguro
utiliza algo como appetize.io para registrar cuentas de telegram en números de teléfono de terceros desde servicios de activación de sms.
luego ejecutarlo y operarlo en emuladores que pueden ser optimizados en diferentes sistemas operativos
 
View previous replies…

hermano

Don't buy from me
Resident
Language
🇷🇺
Joined
Jun 18, 2023
Messages
52
Reaction score
50
Points
18
También calentarlo, hacer que parezca youre usuario real, o su cuenta será bloqueada en breve
 

hermano

Don't buy from me
Resident
Language
🇷🇺
Joined
Jun 18, 2023
Messages
52
Reaction score
50
Points
18
Y utilizar para ello e-sim o physical sim europeos, son mejores
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Para corregirlo, una simulación electrónica puede contener su información.
Peor aún, una SIM física... Aunque sea temporal.
No es lo ideal si te buscan para una situación grave.
En su lugar, utilice un servicio telefónico para empezar, como onoff por ejemplo.
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
No hace falta complicar las cosas utilizando un emulador, simplemente hay que ir sobre seguro.
 

KurtV989

Don't buy from me
Resident
Language
🇺🇸
Joined
May 13, 2024
Messages
126
Reaction score
102
Points
43
Muchas gracias por el artículo, estaba buscando exactamente este tipo de información. Me estaba preparando para empezar a enviar mensajes en frío a vendedores legítimos que he estado siguiendo durante meses en Tele pidiéndoles que vinieran a nuestro mercado. Tengo el mensaje listo pero no me atrevo a enviarlo por razones obvias.
¿Cómo puedo encriptar de una manera que sea segura y lo suficientemente simple para que puedan acceder?
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Hola, no es necesario cifrar el mensaje porque probablemente no querrán descifrarlo sólo por un anuncio.

Utilidad del cifrado = impedir el acceso a datos confidenciales.
Puede tratarse de datos confidenciales que perjudiquen tu anonimato.

Si es para un anuncio, entonces no hay problema, una configuración OpenVPN debería bastar para cubrir tu IP en un ordenador.

Sin embargo, si es para algo más arriesgado, considera usar múltiples capas de seguridad.

Si consideras que tu mensaje es confidencial, entonces codifícalo con la clave pública PGP del destinatario.
 

KurtV989

Don't buy from me
Resident
Language
🇺🇸
Joined
May 13, 2024
Messages
126
Reaction score
102
Points
43
Le agradezco su pronta respuesta, señor, lo releeré para comprobarlo antes de enviarlo, gracias de nuevo.
 

miner21

Don't buy from me
Resident
Language
🇺🇸
Joined
Sep 15, 2023
Messages
542
Reaction score
254
Points
63
Podrías encriptar un mensaje en una tercera aplicación como GNU Privacy assistant y luego pegar el mensaje en telegram, supongo. Tendréis que intercambiar claves públicas y demás para leer los mensajes de los demás.
 
Top