El sucesor de Megaupload tiene fallas de seguridad

Autor: José Luis Becerra
Categorías relacionadas:
Del día, Lo más reciente, Seguridad

[widget id="text-55"]

El 18 de enero, justo un año después del cierre de Megaupload, Kim Dotcom anunciaba con bombo y platillo el lanzamiento de Mega, un nuevo servicio de intercambio de archivos entre usuarios, el cual anunciaba importantes mejoras con respecto a su predecesor, incluido un sistema de seguridad que supuestamente impedirá actuaciones legales que provoquen su cierre. Pues bien, sólo en la primera semana se han detectado ya algunas fallos de seguridad, como asegura Josep Albors, responsable del Laboratorio Ontinet.com.

Junto con el nuevo sistema de seguridad, los responsables de Mega aseguran haber cifrado todos los datos, incluyendo los servicios de chats, correo electrónico o llamadas que se han incluido, garantizando así la privacidad del usuario, al ser el único que conocería la clave de cifrado. Pero han sido precisamente los usuarios quienes dieron la voz de alarma sobre la existencia de una vulnerabilidad XSS (Cross-Site Scripting), una práctica que permite colocar código externo en una página web para que fuerce la ejecución, lo que permitiría a un atacante inyectar código en la página de Mega, pudiendo provocar que los usuarios pulsasen sobre enlaces maliciosos.

Según Albors, ésta es sólo una de los fallos de seguridad descubiertas que demuestran que “hay aspectos que aún se deben pulir, puesto que, de seguir presentes, pueden afectar a muchos usuarios que quieren formar parte de este nuevo servicio. Lo último que necesitamos, es que, provocado por las prisas en lanzarlo, se esté utilizando un servicio de forma masiva con graves problemas de seguridad”.

-CSO

Deja un comentario