Telegram, la compañía más conocida por su aplicación de chat que por su ICO, anunció recientemente su primera tecnología amigable con la criptografía llamada Passport. La ICO de la compañía nunca se ha hecho pública, aunque se sabe que recaudó 1,700 millones de dólares en la venta de sus tokens.
Cifras sacadas de la información obtenida de documentos públicos archivados por la compañía en la Comisión de Seguridad e Intercambio de los Estados Unidos.
Sin embargo, los informes publicados por una empresa de seguridad, Virgil Security revelaron que el proyecto de verificación de la identidad del pasaporte propuesto tiene algunos defectos de seguridad.
La compañía con sede en Estados Unidos dijo que la nueva aplicación propuesta por Telegram ha mostrado debilidades en la forma en que la aplicación pretende encriptar los datos almacenados y cómo los protege.
Virgil Security también elogió a Telegram por hacer que la API de la aplicación de verificación de ID propuesta sea de código abierto, dando así a los expertos en seguridad la oportunidad de evaluar sus códigos y probar la integridad.
«Su compromiso con la apertura les brinda a los profesionales de la seguridad la oportunidad de revisar su implementación e, idealmente, ayudar a mejorarla», escribió Alexey Ermishkin de Virgil Security en el blog de la compañía, agregando:
«Desafortunadamente, la seguridad de Passport decepciona de varias maneras clave».
Aunque el Telegram ICO nunca se hizo público, los documentos muestran que la compañía planea competir con otras startups de Fintech en campos como el intercambio de archivos y la navegación segura.
También tiene la intención de introducir pagos basados en cifrado a su aplicación de mensajería, que se ha vuelto bastante popular entre la comunidad crypto.
El «pasaporte» de Telegram no es un proyecto sorprendente ya que el pago y la verificación de identidad van de la mano. La interrupción de los sistemas tradicionales de identificación digital, como la proporcionada por pioneros como Equifax, ha sido parte de los objetivos de la esfera descentralizada que representa blockchain.
Los sistemas centralizados son propensos a amenazas de abuso y seguridad, porque los datos se almacenan en una central.
En un comunicado sobre el proyecto, Telegram escribió:
«Sus documentos de identidad y datos personales se almacenarán en la nube de Telegram utilizando cifrado de extremo a extremo. Se cifra con una contraseña que solo usted conoce, por lo que Telegram no tiene acceso a la datos que almacena en su pasaporte de Telegram «.
La compañía dijo que el almacenamiento y la protección de datos se descentralizarán en Telegram Open Network (TON), que es uno de los proyectos ICO más ambiciosos que ha visto el ecosistema.
La identificación es uno de los aspectos integrales de TON aunque desde el reciente informe de Virgil Security, la compañía tiene más trabajo por hacer.
En su crítica al Pasaporte Telegram, Virgil planteó un problema con la forma en que Telegram cifra las contraseñas en la plataforma Passport, lo que aumenta la preocupación sobre su uso de SHA-512.
«Es 2018 y una GPU de alto nivel puede verificar con fuerza bruta alrededor de 1.500 millones de hashes SHA-512 por segundo», escriben. Continuó afirmando que un hacker podría descifrar tales contraseñas a un costo de entre 5 $ y 135 $ cada una, dependiendo de la fuerza de la contraseña elegida por el usuario.
La crítica, sin embargo, reconoció que para que esto sea posible, el pirata informático tendría que hackear la capa externa de Telegram.
«Para acceder a los hashes de contraseñas, el ataque tendría que ser interno a Telegram. Las formas en que podrían suceder son numerosas: amenaza interna, spearphish, una memoria USB infectada, etc.», dijo el cofundador de Virgil Security, Dmitry Dain.
