Lo que quiero decir con mi mensaje es que se debe utilizar siempre la verificación en dos pasos que ofrece telegram o whatsapp y no confíar en la autenticación vía SIM. Para por ejemplo iniciar sesión vía web se puede solicitar ubicamente un código de verificación vía SMS si la verificación en dos pasos no está activada y accedes a los mensajes. No todo es el cifrado extremo a extremo, la autenticación segura es un punto crítico en nuestra privacidad.
La verdad que me hacen gracia este tipo de noticias sobre puertas traseras o de cifrado extremo a extremo en aplicaciones móviles de mensajería. Igual que pueden espiar tu Whatsapp, pueden espiar tu Telegram, ¿Por qué? porque el método de autenticación en ambas es el mismo, el SMS, y este canal esta totalmente comprometido, por lo que practicamente cualquiera puede acceder al SMS de activación y acceder a todas tus conversaciones tanto de Whatsapp como de Telegram.
Las debilidades en las redes móviles tradicionales son bien conocidas tanto en protocolos de transporte como GSM como en los protocolos de señalización (SS7). En el primero, el cifrado A5/1 lleva roto muchos años, sin contar que hay paises que por ley ni si quiera aplican cifrado en GSM y se usa A5/0. Con respecto a la red de selañización SS7, es una red "privada" entre telcos que no implementa ningún tipo de seguridad. Cualquiera con acceso a la red (que a día de hoy por la gran cantidad de operadores que existen a nivel mundial no es algo tan díficil de conseguir) puede enviar mensajes y conocer la localización de un determinado dispositivo, interceptar SMS, o redirigir llamadas. Este mismo año atacaron a los clientes de Metro Bank a través de SS7 para evadir el segundo factor de autenticación (SMS) de la banca online. Hay incluso empresas de inteligencia como Verint Systems que aprovechan estas debilidades en SS7 y venden servicios de espionaje a dispositivos móviles.
En definitiva, si queremos privacidad, no podemos confiar en la autenticación a través de la tarjeta SIM
Lo que quiero decir con mi mensaje es que se debe utilizar siempre la verificación en dos pasos que ofrece telegram o whatsapp y no confíar en la autenticación vía SIM. Para por ejemplo iniciar sesión vía web se puede solicitar ubicamente un código de verificación vía SMS si la verificación en dos pasos no está activada y accedes a los mensajes. No todo es el cifrado extremo a extremo, la autenticación segura es un punto crítico en nuestra privacidad.