Ofertas en tecnología

Mega | Los expertos rompen la seguridad y pueden leer los datos del usuario

Un estudio realizado por investigadores del Instituto Federal de Tecnología de Zúrich, Suiza, ha puesto en entredicho la principal afirmación del servicio de alojamiento de Mega, que afirma no poder leer los datos enviados por los usuarios. Los expertos lograron romper el cifrado de extremo a extremo de la plataforma, alegando que su arquitectura está llena de fallas que permiten a cualquier administrador recuperar contraseñas y acceder a archivos en la nube.

  • Los 5 métodos de ataque cibernético que debe tener en cuenta
  • ¿Fácil y gratis? Ver 5 mitos y verdades sobre el alojamiento de sitios web

Más que eso, la prueba de concepto demostró que un atacante con los privilegios correctos no solo podría recuperar la contraseña de un usuario, sino también alojar archivos sin autorización, sin poder distinguir esta acción de una carga legítima. El exploit funcionaría principalmente contra usuarios constantes, con más de 512 inicios de sesión registrados; de hecho, cuantos más, mejor, ya que el ataque se vuelve más fácil a medida que se acumulan las entradas.

El estudio de la universidad presentó cinco vectores distintos de ataques contra la infraestructura de Mega, todos resultando en un compromiso de las cuentas y la confidencialidad prometida por la plataforma. El trabajo fue publicado el martes (21), la misma fecha en que la empresa de hospedaje aplicó actualizaciones para solucionar los problemas, que fueron presentados por el equipo de investigadores en marzo de este año.


Podcast Porta 101: el equipo de TecnoBreak trata quincenalmente temas relevantes, curiosos y muchas veces controvertidos relacionados con el mundo de la tecnología, internet y la innovación. No olvides seguirnos.

Estudio señaló que Mega sería capaz de recuperar contraseñas para acceder a cuentas, mientras que las aperturas permitirían incluso subir en nombre de los usuarios; la actualización se lanzó esta semana, pero los investigadores dicen que no es suficiente (Imagen: Divulgación/Mega)

En un comunicado oficial, el servicio dijo que había aplicado diferentes mitigaciones e indicó que los usuarios de clientes de acceso desarrollados por terceros, como Rclone, eran más vulnerables, ya que las sesiones persistentes, como las que están disponibles a través del navegador para la mayoría de los usuarios, no cuentan. como nuevos inicios de sesión. Incluso para estos, dijo, hay pocos casos en los que la explotación sería realmente posible, mientras que no hay indicios de ataques.

La mega actualización trae una solución parcial, dicen los expertos

Los investigadores responsables del estudio también afirman que las actualizaciones aplicadas por el servicio de alojamiento no resuelven todos los problemas señalados. Si bien ya no es posible recuperar contraseñas, aún existe una falta de verificación de integridad en la carga de archivos y otros problemas sistémicos que permitirían la siembra de archivos. Además, señalan que es posible que se hayan abierto nuevas vías de explotación, no señalando la actualización como solución.

En el comunicado sobre el arreglo, que también trae elementos técnicos e indicadores, Mega afirma que una estafa de esta categoría sería extremadamente difícil incluso antes de las mejoras, ya que un atacante tendría que acceder al “corazón de la infraestructura del servidor”. Otra hipótesis sería una estafa tipo man in the middle, con la interceptación de conexiones que están protegidas por encriptación y, por tanto, indescifrables aunque sean capturadas por terceros.

El comentario oficial, sin embargo, no aborda el problema principal planteado por el estudio, que también fue utilizado por el ex propietario de Mega, Kim Dotcom, cuando criticó a la plataforma una vez más. La idea es que, ante la posibilidad de recuperación de contraseñas y claves de cifrado por parte de terceros, se pusiera a prueba la seguridad e integridad de la propia plataforma, demostrándoles que la promesa de confidencialidad no es tan fuerte como se alega.

Ahora sabes que Mega no es una empresa de privacidad real. Es importante comprender que aquellos que controlan el código pueden crear puertas de enlace para vencer el cifrado. Conozco a los desarrolladores. No tienen moral. Recomiendo no usar Mega para archivos confidenciales.

Para aquellos que no lo recuerdan, Dotcom fue el fundador de Megaupload, que una vez fue uno de los servicios de intercambio de archivos más grandes del mundo hasta que las autoridades estadounidenses lo cerraron por infracción de derechos de autor. Incluso fue quien fundó Mega en 2013, con el ideal de la privacidad, dejando el servicio dos años después afirmando que la administración no cumpliría tales promesas. Mientras tanto, espera una posible extradición de su país de origen, Nueva Zelanda, a los EE. UU., donde puede ser juzgado por delitos de piratería.

Incluso bajo acusaciones de este tipo, Mega fue bloqueada en España, en septiembre de 2019. En ese momento, una demanda presentada por ABTA (Asociación Españaeña de Televisión Paga) citó a la empresa y a otros nueve sitios de hospedaje y transmisión, que serían utilizados. por el intercambio irregular de contenido. Ante la falta de eliminación de páginas y archivos indicados por los denunciantes, la plataforma estuvo inaccesible para la mayoría de los internautas nacionales durante unos 15 días.

Stephen Hall, CEO de Mega, afirmó que no pretende cambiar la afirmación de que la plataforma de alojamiento es la más segura y respetuosa con la privacidad del mercado. Según él, un ataque como el citado por los investigadores era “potencial, por un período corto y en circunstancias limitadas, contra unos pocos usuarios”. También reforzó, en un comentario a la prensa internacional, que el tema está resuelto y que, si hubo peligro, ya no existe.

Lea el artículo sobre TecnoBreak.

Tendencia en TecnoBreak:

  • Samsung tiene unos 50 millones de celulares “varados” en stock
  • ¿Qué efectos secundarios pueden surgir con la cuarta dosis de la vacuna covid?
  • Las 7 mejores películas de zombis en Netflix
  • 5 razones para NO comprar el Fiat Toro 2022
  • Binance, el intercambio de criptomonedas más grande del mundo, está «bloqueado» en España

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart