Serio: Telegram Passport podría ser vulnerable a ataques de fuerza bruta

Serio: Telegram Passport podría ser vulnerable a ataques de fuerza bruta

Investigadores lanzaron todos los dardos al algoritmo SHA-512. El servicio Telegram Passport fue lanzado hace solo unas semanas.

Telegram lanzó la nueva herramienta Passport durante julio. A pesar de haber sido recientemente anunciada, investigadores demostraron que las contraseñas pueden ser vulneradas con ataques de fuerza bruta.

Telegram Passport ofrece un servicio donde se pueden subir documentos oficiales como pasaportes, carnet de conducir, datos bancarios para resguardarlos e identificarse con ellos. No obstante, la firma Virgil Security mencionó que se emplea el Algoritmo de Hash Seguro SHA-512, que según los investigadores es inadecuado para la seguridad de las contraseñas.

Según los investigadores, hay probabilidades de que se pueda crackear la seguridad con ataques de fuerza bruta. Así lo mencionan en el informe:

Lamentablemente, la seguridad de Passport decepciona de varias maneras clave. La mayor preocupación es alrededor de la protección con contraseña. Telegram afirma que "sus documentos de identidad y datos personales se almacenarán en la nube de Telegram utilizando el cifrado de extremo a extremo", pero están usando el algoritmo SHA-512 (…)

La protección de contraseñas con SHA-512, las deja (y a sus usuarios) vulnerables a los ataques de fuerza bruta. La seguridad de los datos que se carga en la nube de Telegram, depende en gran medida de la solidez de su contraseña, ya que los ataques de fuerza bruta son fáciles con el algoritmo de hash que eligieron.

Sobre esto último, resulta lógico que las contraseñas de menos caracteres serán más vulnerables que las de mayor longitud. En todo caso, la firma también le da crédito a Telegram por publicar la API como código abierto y comentan que es un buen camino para mejorar la herramienta.