Redazione RHC : 8 septiembre 2025 13:28
La red social X, antes conocida como Twitter, ha comenzado a implementar un nuevo servicio de mensajería cifrada llamado XChat. Se presenta formalmente como una plataforma con cifrado de extremo a extremo: la correspondencia solo puede ser leída por sus participantes, y el servicio no tendría acceso al contenido.
Sin embargo, los criptógrafos ya señalan que la implementación actual dista mucho de ser fiable y no cumple con estándares reconocidos como Signal.
La primera preocupación es cómo XChat gestiona las claves. Al activarse, se solicita al usuario que cree un PIN de cuatro dígitos, que se utiliza para cifrar la clave privada. Esta clave se almacena en los servidores de X, no en el dispositivo del usuario. Esto no ocurre con Signal: la clave secreta siempre permanece local.
No está claro si se utilizan módulos de seguridad de hardware (HSM) para proteger las claves. Sin ellos, un operador podría, en teoría, adivinar el PIN y acceder a la correspondencia. Un representante de X afirmó en verano el uso de HSM, pero hasta el momento no se ha publicado ninguna confirmación, lo que lleva a los expertos a hablar de un «régimen de plena confianza en las palabras de la empresa».
La segunda debilidad de XChat la describe la propia empresa en su página de soporte: La correspondencia puede verse comprometida por un «infiltrado malicioso o por X». Esta amenaza se conoce como ataque «man-in-the-middle», en el que el servicio reemplaza la clave y obtiene la capacidad de leer los mensajes. En este caso, X proporciona al usuario una clave pública sin la posibilidad de verificar si ha sido reemplazada. Como resultado, los usuarios no tienen forma de verificar la autenticidad de la protección.
El tercer problema es la naturaleza cerrada del código. A diferencia de Signal, que está bien documentado y abierto al escrutinio, XChat sigue siendo completamente propietario. La compañía promete publicar un documento técnico y hacerlo de código abierto en el futuro, pero no hay un plazo específico.
Finalmente, XChat no es compatible con el llamado modo de Secreto Perfecto Hacia Adelante (Perfect Forward Secrecy), en el que cada El mensaje está cifrado con una clave independiente. Por esta razón, comprometer una clave privada permite a un atacante acceder a todo el historial de correspondencia, no solo a los mensajes más recientes.
El destacado investigador Matthew Garrett señala que, incluso si los desarrolladores de X gozan de confianza ahora, pueden cambiar las reglas y debilitar la protección en cualquier momento, y los usuarios no podrán demostrar lo contrario. Su opinión es compartida por Matthew Green, profesor de criptografía de la Universidad Johns Hopkins, quien recomienda no confiar más en el nuevo servicio que en los mensajes personales sin cifrar.
A pesar de las reiteradas solicitudes de los periodistas, el servicio de prensa de X aún no ha respondido a las preguntas sobre la seguridad de XChat. /wp:párrafo –>
RedazioneLos atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
