Siluetas de MEGA (tomado de Forbes.com)

¿Quién no sabe del lanzamiento de MEGA a estas alturas? vamos, el evento súper exagerado, realizado al mismo momento que fue realizado el allanamiento del FBI a la mansión de Kim Dotcom un año atrás, todo para lanzar el clon de su producto anterior, MegaUpload. Al poco tiempo de apertura ya habían 250,000 registros, consumiendo de 0 a 10 gigabytes de transferencia en 10 minutos, luego un millón de registros, luego MEGA-fail y el servicio se cayó por tanta demanda…pero bueno, MEGA ya está andando de nuevo para todos los taringeros usuarios desesperados por subir sus “respaldos” de información. De todo esto hay varias cosas que llaman la atención: el slogan de la empresa, el cual es “La compañía de la privacidad.” ¿A que se debe esto? bueno, en particular a la forma en que funciona este nuevo MEGA: de acuerdo con lo que dicen, ni el mismo MEGA no sabrá que es lo que subes a su servicio, gracias al mecanismo de encriptación que usan: todos los archivos y folders están encriptados simétricamente (lo que significa que se usa una misma llave para encriptar y desencriptar la información) en AES-128, un estándar de encriptación bastante usado; la llave usada se genera al inscribirse en el servicio, y a su vez se encripta con tu password; es decir, pierde tu password  y dile adiós tus archivos, pues perderás también tu llave.

Hasta aquí podrá parecer que todo es bastante seguro, pero aún hay más.

MEGA tiene todavía más seguridad: cuando te registras, se te crean las llaves pública y privada RSA de 2048 bits, mismas que se usan en un sistema de criptografía asimétrica (también llamado de llave pública), usado para la comunicación entre el servicio MEGA y los usuarios. En los mecanismos de criptografía asimétrica, como mencioné antes, se crean dos llaves: una pública y una privada. La pública la tiene cualquiera que quiera enviarte algún contenido encriptado, el cual desbloquearás con tu llave privada, o viceversa. Por supuesto, la llave privada es sólo tuya y de nadie más. Todo bien hasta aquí, y sigue pareciendo seguro.

Pero, como otros que saben mucho más han notado prontamente, la generación de dichas llaves RSA no se hace como debiera ser; la cosa es que gran parte de los métodos criptográficos dependen de la generación de números primos, y desafortunadamente, las computadoras actuales (con tecnología actual y comercial) no son capaces de generar números aleatorios reales, a lo mucho generan números pseudo-aleatorios, lo cual no es bueno para métodos criptográficos, pues introducen debilidad en las llaves generadas…en este caso, las de RSA. Un método para brincar este problema es añadir un componente extra llamado entropía, el cual a grandes rasgos se usa para medir la cantidad de información en un conjunto dado de símbolos; en el caso de la generación de claves RSA, a más entropía, más aleatorias serán las llaves generadas. En el caso de MEGA, esto se hace – supuestamente – al mover el ratón y teclear, pero no se especifica en que momento hacerlo. Para cuando avisa, muchos ya dejaron de mover el mouse y también de teclear…el resultado de esto podrían ser llaves débiles, susceptibles a ataques, como por ejemplo, suplantación de identidad, lo cual sería simplemente terrible.

 

Pero hay más: supuestamente MEGA no sabe lo que subes, ¿verdad? pues no, o al menos, parece que no. Hay una cláusula en sus términos de servicio en el que se especifica que este borrará contenido duplicado, así de sencillo. La pregunta es: ¿cómo borras contenido duplicado sin identificarlo? es decir, toda la información está encriptada y es única…¿entonces como le hacen para saber que en tu cuenta hay lo mismo que en la de otro usuario? por ahora nadie lo sabe con certeza, y este es quizás lo que más le debería de preocupar a quienes piensen que este servicio es súper privado. Esto tiraría por la borda la idea de privacidad en MEGA, puesto que es por demás evidente que hay una forma de identificar que tienes en tu cuenta.

Finalmente, de regreso al password: recordarlo será muy, pero muy importante. Por ahora no hay forma de resetear tu cuenta, pero en el futuro la habrá: el pero es que aunque te reseteen tu cuenta, tus archivos subidos previamente no podrán ser abiertos…hasta que recuerdes tu password anterior. Lo único bueno es que si alguien quiere entrar en tu cuenta reseteando tu password, no tendrá acceso a tus archivos.

En fin, MEGA apenas va iniciando, pero por ahora creo que mejor reservarnos el título de paraíso de privacidad (y piratería y cosas peores) cuando lo prueben y aclaren bien como funcionará. Pero por lo pronto yo tendría cuidado con lo que subiese…