martes, 22 de enero de 2013

La seguridad de Mega, el heredero de Megaupload, no es tan alta como parece



No se puede negar que Kim Dotcom sabe cómo montar un espectáculo. Basta con ver los vídeos de la presentación de Mega, el heredero de Megaupload. Tampoco fallan sus habilidades en el campo del marketing. Con su alegato en pro de la privacidad como derecho humano universal, pretende diferenciar Mega de otros cyberlockers. Privacidad y seguridad son las dos cualidades que Kim Dotcom vende sobre su nuevo servicio de almacenamiento personal en la nube. Por el momento, parece que esos argumentos están calando. En menos de una hora, el servicio lograba atraer a más de 100.000 usuarios registrados. El tráfico era tan alto que el sitio acababa colapsado por exceso de demanda. De tal modo, que en menos de un día, superaba el millón de usuarios registrados.



El cifrado de los archivos almacenados en el sitio es una de las principales características del nuevo cyberlocker. Ofrece cifrado AES de 128 bits y una infraestructura de clave pública/privada RSA de 2048 bits. Eso significa que al usar un par de claves (una pública y otra privada) se supone que nadie, excepto el dueño de la clave privada, puede descifrar los archivos guardados en el cyberlocker. Sin embargo, ese cifrado parece estar diseñado para proteger a la propia compañía Mega Limited y a sus responsables que a los propios usuarios. Al menos eso es lo que opinan muchos especialistas en seguridad, igual que algunos hackers. Con el cifrado Mega evita reclamaciones por violación de copyright, porque así puede alegar que desconoce el contenido de los ficheros alojados.

¿Conviene elegir Mega frente a otros cyberlockers por su supuesta seguridad mejorada? La opinión mayoritaria en foros y publicaciones especializadas es negativa. Cuestión distinta es escoger Mega por sus precios atractivos; desde 10 dólares al mes por 500 GB de espacio de almacenamiento y 1 TB de ancho de banda. Sin embargo, el nivel de seguridad no es alto. Uno de los fallos es la contraseña, que es imposible de cambiar, ni se puede recuperar. El motivo es que la contraseña sirve de base para generar la clave privada de cifrado. Eso convierte a los usuarios de Mega en víctimas fáciles de ataques de robo de contraseñas a través de phishing o de capturadores de teclado (keyloggers). Tampoco se puede modificar el e-mail que sirve de nombre de usuario, ni se puede borrar la cuenta si está comprometida. Aparte, en el historial de sesión dentro de la cuenta figuran todas las direcciones IP desde las que se ha conectado el usuario, sin cifrar.

Otro punto débil es el generador de claves, basado en Javascript, que no es totalmente aleatorio, y cuyos resultados son predecibles y facilita la identificación de los usuarios de Mega cuando envían mensajes o ficheros. Ahora bien, uno de los principales defectos reside en el propio sistema de cifrado, porque la clave utilizada para cifrar los ficheros y las carpetas subidas al servicio se queda almacenada en los servidores de Mega, en lugar de en el ordenador del usuario. Y esa clave se mantiene cifrada, pero ha sido generada utilizando la contraseña de la cuenta. Además, cuando un usuario comparte con otros algún fichero o carpeta, también comparte las claves de cifrado de cada uno de los archivos.

La gestión de los archivos duplicados es otro aspecto controvertido. Mega advierte en sus condiciones de servicio que borrará automáticamente los bloques de datos duplicados. Al fin y al cabo, hay que ahorrar dinero en espacio de alojamiento, para que no haya cientos de copias de la misma película, por ejemplo. El problema es, si los archivos almacenados en el cyberlocker están cifrados, ¿cómo sabe Mega que están duplicados? Además, si Mega puede saberlo, esa información también está al alcance de las autoridades y de los abogados de la industria del entretenimiento para perseguir a los usuarios y acusarlos de piratería.

Para una máxima seguridad, los expertos recomiendan a los usuarios de servicios de almacenamiento en la nube que cifren ellos mismos en sus ordenadores los archivos antes de subirlos, de manera que la clave privada se genere en el propio ordenador, quede oculta y no se transmita a nadie.



tuexperto.com







No hay comentarios:

Publicar un comentario