Web Analytics
Conecta con nosotros

Noticias

Telegram y WhatsApp vulnerables por el protocolo SS7 (Actualizado)

Publicado el
Telegram y WhatsApp vulnerables por el protocolo SS7 (Actualizado) 31

Ya sabemos que el cifrado de Telegram ha sido uno de los grandes atractivos en materia de seguridad por los que la conocida aplicación ha apostado desde sus inicios, y que recientemente WhatsApp decidió hacer lo mismo incorporando el cifrado de extremo a extremo para intentar colocarse al mismo nivel que aquella, pero el protocolo SS7 les ha jugado una mala pasada.

Puede sonar bien, pero según indican numerosos expertos en seguridad hay un problema muy grave que prácticamente hace que dicho cifrado «no sirva de nada», y es que ambas aplicaciones utilizan el protocolo SS7 para las comunicaciones, convertido en estándar allá por 1981 y hoy por hoy lleno de agujeros de seguridad.

Por si alguien duda de la veracidad de esta información hay ejemplos concretos en los que se ha demostrado lo fácil que puede llegar a ser espiar conversaciones supuestamente seguras gracias a las vulnerabilidades de dicho protocolo, como el publicado por la firma de seguridad Positive Technologies, que demostró cómo podía hacerlo gracias una técnica de suplantación de identidad.

¿Implica que WhatsApp y Telegram no son seguras? No, no queremos decir eso. Para evitar cualquier posible duda o interpretación errónea debemos tener claro que el problema no está en las aplicaciones en sí, y de hecho tampoco en su cifrado, sino en el uso del citado protocolo de comunicaciones SS7.

¿Por qué se utiliza dicho protocolo? Por el sistema de registro mediante número de teléfono que utilizan ambas aplicaciones, un punto importante que nos lleva a algo muy simple, si ambas abandonaran por completo dicha modalidad de registro dejarían de estar afectadas por este problema.

En este sentido hemos podido constatar gracias a filtraciones recientes que WhatsApp por ejemplo está trabajando para migrar y abandonar el registro mediante número de teléfono, y que podría apostar por una modalidad en la que utilizaría cuentas de Facebook o de correo electrónico, además de escaneado de códigos QR para añadir contactos.

Más información: The Register.

Actualizamos con una información que nos han pasado desde la agencia oficial de Facebook en España que reproducimos tal cual:

«Hemos construido WhatsApp para conseguir comunicaciones rápidas, fiables y seguras. También hemos diseñado medidas de protección para mitigar vulnerabilidades SS7:

 

En primer lugar, nosotros no almacenamos los mensajes después de ser entregados y las conversaciones son cifradas de extremo a extremo por defecto.

 

En segundo lugar, tenemos un ajuste «Mostrar Notificaciones de Seguridad» que le avisa cuando el código de seguridad de un contacto ha cambiado. Con esta configuración activada aparecerá una notificación cuando alguien vuelve a instalar WhatsApp o cambia móviles porque su código de seguridad de 60 dígitos habrá cambiado. Pero también podría significar que alguien, como un impostor, se ha infiltrado en la conversación. Puede pedir a la persona que se está comunicando con usted que verifique su código de seguridad de 60 dígitos para asegurarse de que se está comunicando con el que se pretende.

 

Podemos agregar esta capa adicional de seguridad a nuestras cuentas mediante la selección de la opción «Mostrar seguridad Notificaciones» en Configuración> Cuenta> Seguridad. Poder verificar la identidad de alguien es una manera útil de protegerse contra un ataque SS7 ya que nos ayuda a hacer frente a posibles impostores».

Editor de la publicación on-line líder en audiencia dentro de la información tecnológica para profesionales. Al día de todas las tecnologías que pueden marcar tendencia en la industria.

7 comentarios
  • yee

    pues amigos se equivocan ya que puedes poner contraseña a la nube de telegram y todo eso no sirve de nada

  • kerveros

    Ese articulo, cualquiera q lea el titulo se espanta (Titulo amarillista), luego en el aarticulo dicen no, no te preocupes :S

  • Isidro Ros

    Creo que es todo lo contrario, en el título aclaramos que el problema está en el protocolo, no en las aplicaciones, y precisamente para eso, para evitar «amarillismos».

    Saludos.

  • EvilMinds

    Telegram tiene la «Verificación en dos pasos», con esto las
    cuentas no son vulnerables, sería bueno que se especificara en el artículo.

  • Hugo

    ¿qué no es amarillista?

    > Puede sonar bien, pero según indican numerosos expertos en
    seguridad hay un problema muy grave que prácticamente hace que dicho
    cifrado “no sirva de nada”, y es que ambas aplicaciones utilizan el protocolo SS7 para las comunicaciones.

    Esta noticia por lejos es nueva, y cada año un hacker, un activista o un conocedor del tema habla sobre las vulnerabilidades del protocolo SS7 que no es nuevo y por eso aplicaciones como Telegram añadieron hace mucho la verificación en dos pasos (ahora a vuelto a salir a la luz debido a los casos de vulneración en que se ha visto envuelta) y que no es mencionada en el artículo.

    La cita la he puesto porque en verdad lo que es afectado es el sistema de verificación de cuentas y no su sistema de comunicación (existen otras aplicaciones como Signal que permiten administrar SMS y para mi eso es utilizar el protocolo SS7 para comunicaciones, aunque advierte que es un sistema no seguro).

    Estos titulares me parecen amarillistas porque con un poco más de elaboración se puede comunicar de este problema y como solventarlo. Además no solo afecta a Whatsapp o Telegram, sino a todo sistema de comunicación que utilice un sistema de verificación de cuenta a través de SMS o llamada telefónica.

    Por último, no he encontrado en la fuente expuesta o en otras que Whatsapp efectivamente esté trabajando en un sistema de registro nuevo (en the registrer dicen que debería hacerlo) y probablemente sea similar al de Telegram que no requiera necesariamente un correo electrónico, ya que la mayoría de los proveedores añaden a su vez un sistema de verificación que incluye SMS o llamada :S

  • Hugo

    Totalmente de acuerdo…

  • sobre todo..

Lo más leído