24 de enero de 2013

Mega: ¿para qué tanta seguridad?

Se ha hablado mucho de Mega y de su seguridad, que se basa en un sistema de cifrado muy fuerte, que hace imposible la identificación de los archivos para quien no disponga de la clave para descifrarlos. Cuestiones técnicas aparte, la pregunta que considero más importante ahora mismo es la que tiene que ver con el objetivo real de tanta seguridad: ¿a quién beneficia realmente el sistema de cifrado de Mega?

Mucha seguridad, pero mal implementada


Sobre el papel, Mega parece muy seguro, muchísimo más que el viejo sistema de MegaUpload. Cuando subes un archivo a Mega, su contenido se cifra con una clave AES, una tecnología muy fiable que se usa en centenares de sitios web. Las claves se generan recolectando movimientos al azar de teclado y ratón. Pero tras los primeros análisis, que se han esforzado en abrir las entrañas de Mega para entender cuáles son sus puntos débiles, se ha comprobado que la seguridad de Mega dista mucho de ser perfecta, y que su cifrado, aunque sólido, está mal implementado. Por lo pronto, ningún experto en seguridad recomienda usar Mega para almacenar documentos confidenciales.

Quedarse fuera de la cuenta es muy fácil


El gran problema de Mega es que para acceder a los archivos es necesario usar una clave maestra, tu contraseña. Una contraseña que se define una sola vez al crear tu cuenta y que no puede ser cambiada ni tampoco recuperada. Si la pierdes, te quedas fuera y pierdes para siempre el acceso a tus archivos.


La pantalla de alta de Mega. Se pide la contraseña una sola vez. Y no se puede recuperar (por ahora)


Sin mecanismos de seguridad adicionales, las cuentas de Mega son muy vulnerables ante los intentos de robo de contraseña, algo preocupante para las cuentas de pago, para las cuales no habría garantía alguna de recuperación. En las disculpas que Kim Dotcom ha presentado recientemente antes los medios en referencia a la calidad del servicio, no se mencionan los problemas de seguridad. En declaraciones recientes, Bram van der Kolk, cofundador de Mega, afirma que están trabajando en la posibilidad de cambiar las contraseñas. Pero habrá que ver si es cierto. Mientras tanto, hackers de todo el mundo ya han encontrado formas de calcular las claves de Mega...

Si pasa algo, Mega se lava las manos...


Los Términos de Uso de Mega están diseñados para esquivar cualquier ataque legal (que ya está llegando) y para deshacerse de toda responsabilidad en caso de que el usuario pierda su clave o cierre su cuenta. Entre otras cosas, los términos de uso de Mega vienen a decir lo siguiente:

  • El usuario es responsable del uso que se haga de los datos subidos (p. 5)

  • Si pierdes tu clave maestra, pierdes para siempre el acceso a tus archivos (p. 6)

  • Mega no se hace responsable de posibles pérdidas de datos (p. 7)

  • Si decides cerrar tu cuenta, Mega no te reembolsará el dinero gastado (p.21)


Al usar Mega, el usuario es el único que pierde. Mega solo puede ganar. Su servicio se ofrece “tal-cual-es” y sin ningún tipo de garantía. Estos términos, unidos a la pobre arquitectura de seguridad de Mega, alejan a quienes deseen almacenar documentos críticos y a quienes buscan un mínimo de seriedad.

¿A quién le beneficia al final tanta seguridad?


Mega es un servicio que parece haber sido diseñado con dos objetivos: facilitar la descarga ajena y evitar denuncias por parte de las autoridades. Como tal, cumple ambos objetivos al 100%: la seguridad está ahí más para proteger a Mega que para proteger al usuario.

Si tienes los enlaces con llave incluida, los archivos siguen disponibles aunque pierdas el acceso a tu cuenta


La mayoría de enlaces creados con Mega incluyen ya una clave de descifrado, lo que permite su uso en páginas web, redes sociales y foros, pero no su borrado eventual en caso de que la cuenta original se perdiese. El contenido se quedaría dónde está para quien lo quisiera. Y Mega ganaría tráfico en el proceso. Una filosofía un tanto cuestionable.

Mega, ¿un servicio basado en la desconfianza?


¿No te fías? ¿Quieres una seguridad todavía mayor? Podrías cifrar el archivo con una clave de 4096 bits de PGP, ocultarlo dentro de una imagen, comprimir el archivo resultante y finalmente subirlo a Mega. Pero todo eso no resolvería el problema básico: la confianza mutua cliente-empresa. En Mega esa confianza no existe. Subes un archivo a tu cuenta y riesgo y nadie se hace cargo de él. Puede desaparecer en cualquier momento o ser denunciado. De haber un culpable, solo podrás serlo tú. Y en ese supuesto, ¿te interesa identificarte? La respuesta es un rotundo “no”. La consecuencia de esta desconfianza inicial en la relación establecida con Mega es que quien use Mega lo hará anónimamente, sin crear una cuenta de usuario. Puede incluso que use Tor o algún túnel VPN. Mega, que está en el punto de mira de las autoridades, sabe que los archivos son prisioneros sacrificables.


Hay quien sugiere usar Mega junto con un servicio anonimizador, como HotSpot Shield


Pero, en ese caso, ¿para qué te sirve cifrar los archivos? La respuesta es sencilla: el cifrado está ahí para hacer de posible escudo legal para Kim Dotcom, y no para proteger la privacidad de los datos. En el viejo MegaUpload, los contenidos eran visibles para los administradores, lo que les convertía en cómplices de facto.

Mega es útil para muchas cosas, pero no para todas


Como hemos visto, Mega carece de transparencia y de garantías fundamentales. Los archivos subidos a su plataforma están a la merced del azar y de los fallos de implementación del cifrado. El cliente no tiene apenas derechos. Usar los servicios de Mega en su forma actual implica arriesgarse a que los contenidos subidos se pierdan. Dicho esto, Mega no me parece un mal servicio para algunas tareas. Llegaría a usarlo en determinadas circunstancias, como la subida temporal de archivos. Pero en ningún caso llegaría a almacenar en el mismo mis documentos más críticos o editarlos con las futuras apps ofimáticas que Kim Dotcom ha prometido implementar.

¿Confías tú en Mega y su seguridad? ¿Para qué lo usarías?






via Jonathan's starred items in Google Reader http://onsoftware.softonic.com/mega-seguridad-privacidad

No hay comentarios.:

Publicar un comentario

Comenta con Respeto. Y escribe claramente lo que deseas transmitir