MEGA ha publicado una actualización de seguridad para solucionar un conjunto de graves vulnerabilidades que podrían haber expuesto los datos de los usuarios, incluso si estos se hubieran almacenado de forma cifrada. MEGA es un servicio de almacenamiento en la nube y de alojamiento de archivos con sede en Nueva Zelanda que cuenta con más de 250 millones de usuarios registrados de más de doscientos países. Los usuarios han subido colectivamente la enorme cantidad de 120.000 millones de archivos distintos que suman 1000 petabytes de tamaño. |
Una de las características anunciadas de MEGA es que los datos se cifran de extremo a extremo, y sólo el usuario tiene acceso a la clave de descifrado. Sin embargo, los investigadores han demostrado que las vulnerabilidades del algoritmo de cifrado les permitían acceder a los datos cifrados de los usuarios.
Las vulnerabilidades en el esquema de cifrado de MEGA fueron descubiertas por investigadores de la ETH de Zúrich, en Suiza, que informaron a la empresa de forma responsable el 24 de marzo de 2022.
Aunque los investigadores descubrieron cinco posibles ataques contra los datos de los usuarios que se basan en un número igual de fallos, todos ellos se basan en el robo y descifrado de una clave RSA.
MEGA no tiene constancia de que las cuentas o los datos de los usuarios se hayan visto comprometidos por la explotación de los fallos descubiertos. Sin embargo, este hallazgo supone una brecha en las promesas de seguridad de los datos del servicio.
Desencriptación de MEGA
MEGA utiliza un sistema de cifrado de extremo a extremo controlado por el usuario (UCE) para proteger los datos de los usuarios incluso del acceso interno. La base de este sistema es una clave de cifrado generada a partir de la contraseña de acceso habitual del usuario.
A continuación, la clave maestra se genera mediante un proceso aleatorio y se utiliza para el posterior cifrado de un subconjunto de claves, entre las que se encuentran un par de claves RSA, una clave Curve utilizada para la función de chat, una clave de firma Ed y las claves de nodo.
La clave RSA de cada usuario se almacena en los servidores de MEGA sin protección de la integridad.
El equipo de la ETH de Zúrich descubrió una novedosa forma de realizar un ataque man-in-the-middle que puede recuperar las claves RSA de las cuentas de MEGA seleccionadas.
Este ataque se basa en la adivinación del factor primo a través de la comparación y requiere al menos 512 intentos de acceso para funcionar. Además, el adversario tendría que acceder a los servidores de MEGA para llevar a cabo el ataque.
Esto es muy complicado y generalmente difícil para las amenazas externas, pero no sería tan difícil para los empleados de MEGA sin escrúpulos/no éticos.
Una vez que la clave RSA de una cuenta objetivo filtra los textos cifrados del usuario, el atacante puede retroceder para recuperar el AES-ECB de la clave maestra en texto plano y luego descifrar todo el subconjunto de claves.
Finalmente, el atacante puede descifrar los datos del usuario almacenados en la nube de MEGA, acceder a los chats en texto claro e incluso subir nuevos contenidos al repositorio de la cuenta.
Solución e implicaciones
MEGA ha corregido las dos vulnerabilidades que pueden llevar al descifrado de los datos de los usuarios en todos los clientes (recuperación de claves RSA y recuperación de texto claro), ha mitigado una tercera (framing) y planea abordar los dos problemas restantes descubiertos en próximas actualizaciones.
Las correcciones no son contramedidas perfectas, pero no afectan a la experiencia del usuario y no requieren que los usuarios vuelvan a cifrar sus datos almacenados, cambien su contraseña o creen nuevas claves.
El proveedor de servicios en la nube afirma que no hay indicios de que se haya accedido a las cuentas de los usuarios o a los datos de forma inapropiada, ni desde dentro ni desde fuera.
"Ver cómo atajos de diseño criptográfico aparentemente inocuos, tomados hace casi una década, se vuelven contraproducentes bajo el escrutinio de tres de las mentes más brillantes del sector es a la vez aterrador e intelectualmente fascinante", comenta MEGA sobre los hallazgos.
"El altísimo umbral de explotabilidad, a pesar de la amplia gama de fallos criptográficos identificados, proporciona una cierta sensación de alivio".
A pesar de que MEGA asegura que ningún dato se ha visto comprometido, la investigación ha anulado de hecho las garantías de confidencialidad de datos de MEGA que les diferenciaron de su competencia durante más de una década.