Descubierta una vulnerabilidad en Telegram que expone millones de datos bancarios de sus usu

15-11-2020 14:30:56

Descubierta una vulnerabilidad en Telegram que expone millones de datos bancarios de sus usuarios
Se ha descubierto una vulnerabilidad en la aplicación de mensajería Telegram que emplea un protocolo para almacenar contraseñas que las deja desprotegidas ante ciberataques de fuerza bruta. Dicha vulnerabilidad reside en el sistema de protección de contraseñas SHA-512 que usa Telegram Passport, que utiliza un algoritmo que no está diseñado para el almacenamiento de este tipo de claves y resulta vulnerable. Así lo ha explicado la compañía de ciberseguridad Virgil Security.

El pasado jueves, 26 de julio, Telegram integró en su aplicación la nueva herramienta Passport, un método de autenticación para los servicios online al que los usuarios se les permite subir sus documentos oficiales como pasaportes, datos bancarios y carnets de conducir, e identificarse con ellos.

Al parecer y en un principio la plataforma aseguró a través de sus desarrolladores que la función protegía la seguridad de los archivos y las claves a través de mecanismos de encriptación de extremo a extremo, presentes también en los mensajes de Telegram. No obstante desde la compañía de ciberseguridad apuntan que esta API utiliza un protocolo de encriptación de archivos SHA-512 inadecuado para cifrar contraseñas, que quedan al parecer desprotegidas ante ciberataques por fuerza bruta.

Debido al protocolo de encriptación utilizado, los ciberatacantes pueden utilizar tarjetas gráficas de alto rendimiento como las utilizadas para el minado de criptomonedas para generar de manera automática combinaciones de caracteres al azar. Usando este mecanismo es posible averiguar cualquier contraseña de ocho caracteres de longitud en 4,7 días.