Pavel Durov, creador de Telegram: “Ninguna aplicación es 100% segura”

Telegram es la nueva esperanza de los que esperan que exista una mayor seguridad en las aplicaciones de mensajería móvil. WhatsApp, la líder actual con 430 millones de usuarios activos, es noticia cada dos por tres por la existencia de aplicaciones que detectan nuestros mensajes en redes wifi públicas.

Tres son las claves que definen esta nueva app disponible en iOS, Android, Windows, Mac y Linux: su seguridad, ser software libre y no tener ánimo de lucro (ergo sin publicidad ni pagos de suscripciones). Con esas credenciales están logrando hacerse un hueco en mercados como el español, donde cada día crece el número de usuarios registrados. En España es ya una de las cinco aplicaciones más descargadas en el App Store de Apple (la primera en su categoría entre las gratuitas) y la Play Store de Google (la quinta de su categoría, por delante de Snapchat).

En el apartado de la seguridad, Telegram funciona con un cifrado propio llamado MTProto que, a diferencia del de WhatsApp (que oficialmente no dice cuál usa), provee claves diferentes entre el emisor y el receptor. En el caso de WhatsApp, al ser las mismas, uno de sus puntos flacos es que conociendo un mensaje se puede calcular y descifrar la respuesta.

En el apartado funcional, quizá el mayor valor reside en los chats secretos, que permite mantener conversaciones entre dos dispositivos sin que esos mensajes se guarden en el servidor de Telegram, tan solo en los dos teléfonos que están interactuando; Telegram asegura que ni siquiera ellos pueden ver esos mensajes. Para proteger este servicio, estos chats generan una clave a partir del protocolo Diffie-Hellman de tal manera que el gráfico de los dos dispositivos debe ser el mismo, asegurándonos así que no hay nadie espiando nuestra conversación.

Otra característica que muchos agradecerán es poder borrar mensajes enviados de manera que se borren también en los dispositivos receptores, algo que no sucede en WhatsApp donde lo que mandamos, mandado queda (y que puede provocar más de un disgusto al equivocarnos de destinatario por ejemplo).

Siguiendo la estela de Snapchat, podemos configurar la autodestrucción de nuestros mensajes automáticamente. Además, se pueden crear grupos de más de 200 personas y mandar ficheros de vídeo de más de 1 gigabyte.

Detrás de Telegram están los responsables de VK, la versión rusa de Facebook (228 millones de usuarios, 200 trabajadores y unos ingresos de 172 millones de dólares en 2012), los hermanos Durov. Pavel es su cabeza visible y quien dirige la parte económica e ideológica de la aplicación y su estrategia de crecimiento. Este ruso de 30 años ha sido bautizado como el Mark Zuckerberg de Rusia por el Daily Mail y el Huffington Post. Lleva 18 meses detrás de esta aplicación y su sistema junto a su hermano Nikolai. Pavel ha concedido una entrevista a eldiario.es que, por supuesto, se ha realizado a través de su aplicación móvil:

¿Cuántos usuarios registrados tenéis a día de hoy y en qué países tenéis ya más presencia?

Cinco millones, y creciendo como locos. El país en que más se usa es India, donde se registraron 1 millón de usuarios en dos días (los pasados jueves y viernes). Telegram es también muy popular en el Golfo Pérsico. Hemos notado también muchos usuarios en Malasia. Estamos creciendo también los países de habla hispana.

¿Cuántos mensajes se mandan y reciben cada día en Telegram?

60 millones, pero doblamos esa cifra cada par de días.

Dentro de ese crecimiento en países de habla hispana del que hablas, ¿es el motivo por el cual en la última actualización de la app se incluye la traducción al español o entraba dentro de vuestros planes ya desde hace tiempo?

Hace un par de semanas notamos el interés en Telegram por parte de usuarios hispanoparlantes, de modo que el equipo empezó a plantearse traducirla al español. Esta pasada semana varios voluntarios en España ayudaron a nuestro equipo a hacer esa traducción (que resulta más sencilla al ser software libre) y probarla. La app en Android ya está disponible en español y la de iPhone lo estará tan pronto como Apple la revise y publique.

Hay muchas aplicaciones de mensajería muy conocidas como WhatsApp, Line o Hangouts, ¿cuál consideráis que es de la que vais a atraer más usuarios?

No pensamos de esa manera, no queremos quitarle usuarios a nadie. Aunque la respuesta es obvia, como proyecto sin ánimo de lucro no tenemos ese planteamiento en la cabeza.

En ese caso, ¿cuál es vuestro rival más directo?

Telegram es más parecido a WhatsApp que a los otros que mencionas, pero mucho más potente en algunas cosas. En todo caso, no estamos en disposición de ser rivales de nadie.

Usar software libre es una de vuestras características más destacadas, pero no todo lo tenéis licenciado así, ¿por qué?

El código fuente de todas las aplicaciones es 100 % abierto, si bien el código en el servidor va a ser gradualmente abierto a finales de este año. Tenemos abierta la parte del cliente de manera que cualquiera pueda sacar provecho de nuestra tecnología en la nube. De esta forma cualquiera puede cambiar el diseño de Telegram, abrirlo a más sistemas operativos, idiomas, herramientas, etc.

Telegram es diferente a otros proyectos de software libre como Jabber que te permiten montar tu propio servidor Jabber usando su código fuente de servidor. La razón por la que Telegram es diferente se basa en que es un servicio unificado en la nube, que no serviría para nada si todo el mundo empezara a crear sus propias nubes de Telegram. Eso supondría que nadie se podría comunicar entre nubes diferentes. Nosotros pensamos que ese nivel de entropía podría resulta confuso entre los usuarios y supondría la desaparición del proyecto.

La manera de solucionar esa disrupción y aun así hacer el código del servidor de software libre es rediseñar la arquitectura de todo el proyecto y permitir a todos los servidores independientes y externos que intercambien datos y actúen como una sola nube. Aunque esto es teóricamente posible requiere una gran cantidad de trabajo y podría suponer para el proyecto una reducción en la velocidad de respuesta y su seguridad. Dicho lo cual, si comparas Telegram con otros productos totalmente cerrados como WhatsApp y que no facilitan ninguna API, creo que es un gran paso adelante el que hemos realizado aun sin ser 100 % abiertos.

Otra parte importante de hacer con software libre la parte del cliente es que cualquiera puede revisar el código fuente y asegurarse de que la app hace exactamente lo que dice que hace. Por ejemplo, una persona puede revisar el código fuente de las apps de tal manera que cuando intercambias mensajes por un chat secreto el servidor no tiene acceso a esos mensajes en ningún momento, se almacena solo en tu dispositivo. Un centenar de geeks expertos en seguridad de todo el mundo revisaron el código fuente de Telegram hace un mes. Algunos encontraron algunos detalles que podían reforzar la seguridad, y eso es exactamente lo que hicimos.

Sin embargo hay que tener en cuenta que como la aplicación funciona en Android o iOS no puede ser 100 % segura desde que se conoce que la NSA tiene acceso por puertas traseras al sistemas operativo de tu smartphone. Además te pongo un ejemplo de Rusia: puedes sobornar a un funcionario corrupto de la agencias de seguridad rusas para interceptar las comunicaciones vía WhatsApp de un teléfono determinado; pero no puedes pagar a nadie para interceptar las comunicaciones de Telegram puesto que el cifrado es sólido. Resumiendo, nada es 100 % seguro, pero Telegram es categóricamente la opción más segura del mercado si la comparas con Line, WhatsApp, etc.

En vuestra FAQ explicáis que habéis creado vuestro propio protocolo de seguridad, el MTProto, para ganar en velocidad de envío, pero según Crypto Fails lo podríais haber hecho con encrypt-then-HMAC-SHA1 o BLAKE2. También se ha criticado el concurso por el que ofrecéis 200.000 dólares de recompensa a quien hackee el sistema, ya que según las normas impuestas, es imposible ganar sin incumplir alguna, ¿estás de acuerdo?

En primer lugar, hay cientos de maneras de construir una encriptación sólida, y no solo una única manera. Lo que dsde Crypto Fails se argumenta, tras un gran debate, es que nuestro mecanismo de cifrado es poco común y requiere de mucha explicación para que los expertos en seguridad entiendan su funcionamiento. Esto no tiene por qué ser malo. Usar BLAKE2 o cualquier otro es tan solo una cuestión de gustos.

Por otro lado, el concurso tiene como objetivo que el tráfico a través de Telegram sea indescifrable, aunque se intercepte; pienso que este objetivo resulta corto para algunos criptógrafos, pero dudo mucho de que cualquier otra aplicación pueda pasar la misma prueba. Dicho lo cual me puse en contacto con Taylor Hornby (la persona detrás de Crypto Fails) para trabajar juntos en un concurso más abierto que se lanzará el próximo 1 de marzo.