MEGA. Bigger. Better. Faster. ¿Stronger? ¿Safer?
Como bien sabréis, hace cuestión de un año cerraron el portal de compartir archivos más importante de Internet. Megaupload. Justo o no, lo que sí han conseguido es que el dueño y señor de dicha web, Kim Dotcom haya vuelto con más fuerza. Su nueva creación, MEGA , ha causado furor en sus primeras horas de lanzamiento.
Una de sus premisas es el de «STRONGER» (Fuerte) y «SAFER» (Seguro). Su política de seguridad radica en que los ficheros se suben ya cifrados por una contraseña que solamente el usuario la conoce, a unos determinados servidores. Algo novedoso comparándolo con otros sitios.
Pero al parecer, y según profesionales de la criptografía, contiene varios fallos en el sistema. En la revista Forbes, Nadim Kobeissi, un reputado experto criptográfico, ha comentado:
Está bien como sitio web pero en cuanto a criptografía parece que no tuvieran experiencia
El sistema que al parecer pone en marcha MEGA es que cifra de punta a punta los ficheros del usuario sin la ayuda de ningún tipo de programa para ello. En el navegador se realiza el cifrado cuando visita MEGA.
Pero este sistema es inseguro desde hace tiempo. Y es lo que alertó a Nadim y demás expertos. ¿Por qué? Pues básicamente porque cuando la Web carga el código en nuestro navegador desde X servidor, puede variar el código de cifrado por petición de la Web. Y todo esto sin que el usuario se cosque.
Pero…¿y qué? Pues esto repercute en:
– Cualquiera con acceso al servidor de MEGA que mande los códigos de cifrado podría desactivar dichos algoritmos, o hurtar la clave del usuario. Y si roba la clave, se acabó el juego.
– Al parecer muchos de los servidores están ubicados en territorio Yankee. Creo que no hay que decir nada más, pero para despistados: Las autoridades respectivas seguramente obligarían a MEGA a capturar los comandos de cifrado.
Por lo tanto, el que posea las claves de cifrado, que es el usuario, debe poner la mano en el fuego para que MEGA proteja el acceso a sus servidores a cualquier persona y que de acceder, que no descifre sus ficheros. Cosa un poco impensable en esta época de deslealtades.
Otro fallo importante es que el cifrado por el navegador usa SSL. Si se rompe dicho cifrado los datos enviados por el servidor se podrían alterar de una manera sencilla. Y no penséis que es algo improbable, ya que MEGA usa el cifrado de 1024 bits y no el de 2048 bits que es el recomendado desde hace muchos años.
El generador de números aleatorios en Javascript ha causado también bastante revuelo. Y es que dicho sistema es muy predecible.
Por último tenemos la ya famosa política de contraseña única y para siempre. Los usuarios no pueden cambiar la contraseña, ya que perderían el control sobre sus archivos, ya que se cifra con dicha clave. Lo cual, en el caso de que nos birlen la contraseña, no habrá nada que hacer.
Y a resaltar, en las condiciones de servicio de MEGA, afirmen que pueden identificar y borrar ficheros duplicados para optimizar el sistema, pero… Si sólo el usuario tiene la clave para acceder al contenido cifrado ya que esa contraseña es la que se usa para proteger nuestros archivos… ¿Cómo pueden comparar ficheros entre usuarios si cada usuario cifra sus archivos con una contraseña distinta?
Esperemos que Kim Dotcom rectifique ciertos aspectos ya que parece un lanzamiento precipitado y a modo de Vendetta. No obstante estamos seguros (o casi) de que lo harán pero necesitarán cierto tiempo.
MEGAsaludos!!