Mega no es perfecto después de todo parece...

Expertos cuestionan el cifrado y la seguridad de Mega

(Fuente: Alt1040.com)

Han pasado casi dos días desde el lanzamiento de Mega, el servicio de almacenamiento en la nube de Kim Dotcom y, la verdad, la acogida del servicio entre los usuarios es bastante prometedora puesto que la avalancha de altas, visitas y peticiones ha provocado inestabilidades en el servicio. Uno de los aspectos en los que más énfasis se ha hecho, durante la campaña previa al lanzamiento, ha sido la seguridad y el cifrado de la información; un aspecto que hoy ha puesto en tela de juicio un experto en seguridad que está desarrollando MegaCracker, una herramienta con la que sería posible averiguar la contraseña de los usuarios de Mega.



Los usuarios que se hayan registrado en Mega habrán observado lo simple que es el proceso de alta; solamente debemos introducir nuestro nombre, una dirección de correo electrónico, una contraseña y esperar a que recibamos un correo de confirmación con un enlace que debemos visitar para cerrar el proceso de alta. ¿El problema? Según Steve Thomas, un experto en seguridad y criptografía, el enlace que nos envían por correo electrónico contiene un hash de nuestra contraseña.

#mega confirmation code contains "hashed" password aes(pwKey,[rand(0x100000000),0,0,rand(0x100000000)]) false positives 1 in 2^64
— Steve (@Sc00bzT) enero 21, 2013

Dicho de otra forma, el enlace que tenemos que visitar encierra nuestra propia password aunque, claro está, el escenario en el que nuestra contraseña puede ser interceptada por un tercero es bastante complejo puesto que tendrían que interceptar nuestros mensajes o revisar el historial de nuestro navegador o alguna artimaña de esta índole aunque Steve Thomas no ha querido profundizar más en el asunto y, por lo que parece, aún no ha terminado de desarrollar esta herramienta.
Antes del lanzamiento de Mega, Dotcom siempre ha hecho mucho énfasis en el cifrado de los archivos que guardamos en el servicio, de hecho, el cifrado se realiza en el origen para que cuando nuestros archivos lleguen a los servidores de Mega estén ya cifrados (una interesante manera de descargar la responsabilidad legal). Aún así, durante estos días de arranque y beta del servicoo, algunos expertos en materia de seguridad han descubierto problemas en el servicio y están siendo bastante críticos con las promesas de cifrado y seguridad que se han estado anunciando durante los meses previos al lanzamiento.

Alexa stats: Unbelievable growth. #Mega rises and Dropbox drops. twitter.com/KimDotcom/stat…
— Kim Dotcom (@KimDotcom) enero 22, 2013

Mientras tanto, Kim Dotcom sigue informando a través de su perfil en Twitter que trabajan en la mejora del servicio y que, entre otras cosas, la acogida de Mega por parte de los usuarios está siendo muy buena. Aunque creo que es un dato que hay que tomarse con cuarentena, según los datos de Alexa que Dotcom está compartiendo en su perfil, el tráfico de Mega está subiendo a la vez que baja el de Dropbox y que, en media, cada segundo se completan alrededor de 60 subidas de archivos.

#Mega stats: 60 uploads complete every second!
— Kim Dotcom (@KimDotcom) enero 22, 2013