MTProto

[nota 1]​A 2020 no existe intenciones de librerar la plataforma completa hasta que este se descentralice y tenga un propósito benigno.

[2]​[12]​ En 2014 las sucursales Telegram LLC y Digital Fortress fueron adquiridos por United Capital Partners, exdueño de VK,[13]​ generando una disputa legal sobre su auditoría con Pável.

[14]​ Esto obligó a crear una nueva organización externa llamada Telegram Messenger LLP, cuya sede se mantuvo indefinida hasta 2017.

Para establecer el dispositivo activo es necesario una confirmación vía SMS o llamada telefónica por única vez, cuyo código lleva 5 dígitos,[17]​ con la posibilidad de asegurar con autentificación en dos pasos.

[20]​[25]​[26]​ Para dificultarlo, no se relaciona la llave de cifrado (msg_key), la firma (auth_key_id) y el mensaje codificado al desgranarlos.

[34]​ En la sección de preguntas y respuestas en farsi, se planea mejorar el servicio para evitar la censura del gobierno iraní.

[35]​ MTProto admite transporte de datos en relación con la carga útil: Ligero para cobertura baja.

Adicionalmente, los bots pueden personalizarse a gusto del usuario y vincular cuentas de otros servicios.

[43]​[44]​ A diferencia de las conversaciones privadas, chats y grupos, el responsable necesita usar los certificados para cifrar contenido ya que las peticiones se transmiten por webhook.

Para hacer más interactiva en las conversaciones, se añadió a los bots un teclado diseñado para respuestas u órdenes instantáneas.

[40]​ Los teclados interactivos permiten mostrar resultados de reacciones (por ejemplo, el bot oficial @like), votaciones (@vote) u operaciones matemáticas en tiempo real.

[63]​[64]​[65]​[66]​ Dúrov vaticinó esa acogida porque «hay una guerra […], el Estado Islámico siempre encontrará una manera de comunicarse entre ellos.

[70]​ Para reducir intentos de acceso no autorizado, se limitó el mecanismo para usuarios con verificación en dos pasos (véase apartado).

Kaspersky Lab comprobó que el cifrado en los chats secretos es distinto al veterano OTR.

[79]​[80]​ Irónicamente, Dúrov propuso colaborar con Snowden para verificar el funcionamiento antes que fuese presentado al público.

La función del SHA-1 es codificar los mensajes con una capacidad máxima de 64 bits —la mitad del cifrado XOR que se reparte tanto para el emisor y el receptor—, lo que podría ser vulnerable al interferir y suplantar grandes paquetes de datos en las conversaciones.

Para evitarlo, existe una opción para "difuminar" la última conexión a desconocidos, o estableciendo una lista negra, en los ajustes de la aplicación.

Telecrypt está escrito en Delphi y aprovecha la API para instalar software dañino una vez que el cliente lo haya descargado.

Al conseguir el token, cuyas claves privadas fueron obtenidas accidentalmente de sus desarrolladores, un ciberdelicuente enviaría una aplicación para Windows.

Se reporta que 70.000 usuarios fueron nombrados temporalmente como "Cuenta eliminada" durante la limpieza de datos en sus servidores.

[108]​ En julio de 2019 usuarios consiguieron registrar tomar el alias @ya, que es del bot perteneciente a Yandex, para crear su canal.

Como respuesta, los usuarios sospechosos no podrán añadir 5 números registrados a la lista de contactos por día.

[112]​ Telegram ofreció recompensas a aquellos que encuentren ciertas fallas del mecanismo no relacionadas al cifrado o la API.

Dúrov identificó el problema y anunció un parche de seguridad para evitar este incidente.

Si bien no es un fallo, podría generar confusión y ayudaría que atacantes intercepten o editen los mensajes reenviados.

[125]​[126]​ Además, se publicó un reporte en que los stickers en los chats secretos para extraer información del usuarios durante octubre de 2020.

[131]​ En ese mismo día se anunció la documentación para desarrollar aplicaciones en poco tiempo y sin conocer demasiado a la API de MTProto.

Aquí se mencionan algunos clientes aficionados que incorporaron características o añadidos comerciales para aprovechar el potencial de la mensajería.

[139]​ A diferencia del cliente oficial para Windows Phone 8, Unigram está desarrollado por la comunidad que busca aprovechar la integración entre dispositivos.

[140]​ En septiembre de 2016 se publicó la primera versión alfa para móviles disponible como descarga directa.

Ilustración simplificada del sistema de cifrado en las conversaciones normales de la nube.
Ilustración técnica del tráfico en los chats normales, por defecto. Nótese el resultado obtenido: mensaje cifrado, clave de cifrado y firma de verificación.
Ilustración del tráfico en los chats secretos. Las claves se almacenan únicamente en el dispositivo local.
Esquema sobre el cifrado en servidores CDN. De acuerdo a este, el usuario recibirá las claves para descifrar los mensajes
Un esquema ejemplificativo de un bot escrito en Python . Nótese el cuadro gris que engloba los procesos realizados por un servidor.
Videocaptura de la sección Tematización de Plus Messenger.