Si vas a usar Mega, tené cuidado con tu contraseña

“La privacidad es un derecho humano”, dijo Kim Dotcom, el fundador de Mega, su nuevo servicio de almacenamiento de datos en la nube. Es un servicio creado para entregar la máxima protección de datos a través del cifrado de la información y a la vez protegerse de situaciones como la del año pasado, cuando MegaUpload fue cerrado por el FBI.

Aunque no es el primero ni el único servicio que usa cifrado de datos, el nuevo Mega encripta cada archivo que subamos al servidor, y cuando son descargados, son descifrados para que puedan volverse a abrir. Mientras estén guardados en su nube, permanecerán cifrados y nadie podrá abrirlos si no tiene la llave, que es tu contraseña de usuario.

Mega usa la contraseña para generar de forma indirecta las llaves para cifrar y descifrar los archivos. Y esto significa varias importantes cuestiones:

  1. No se te ocurra perder tu contraseña de Mega. El servicio no almacena las contraseñas. Si la perdiste, NO HAY MANERA de recuperarla. Y al perderla, se pierde el acceso a todos los archivos que no están en una carpeta compartida y que no tienen ningún fichero previamente exportado o la llave de la carpeta.
  2. El cifrado a partir de la contraseña también implica que no es posible cambiar la contraseña de usuario sin descartar las llaves para descifrar. Así que la primer contraseña que elijas es la que vas a usar, para siempre.
  3. Si elegiste “password” como contraseña o alguna otra palabra obvia, cualquier novato podría secuestrar tu cuenta y no hay ninguna manera de recuperarla y desalojar al invasor. La única manera de proteger tus datos en ese caso es borrándolos de Mega.
  4. Mega no pide confirmar la contraseña cuando creas una cuenta, así que también hay que no hay que escribirla mal por accidente!

Si todo esto te sale bien, cuando tus archivos estén en la nube, podrás compartirlos a través de un enlace, pero esto también requerirá de una llave para poder abrirlos. Cada archivo o carpeta que subas al servicio contará con una llave propia generada a partir de un pedazo del password.

Los archivos pueden enlazarse de dos maneras:

  • Enlace directo: Las personas que tengan este enlace podrán descargar los datos, pero obtendrán exactamente lo que tiene Mega, es decir, un archivo cifrado del que no se entiende nada. Si quieren descifrarlo, necesitarán la llave específica para el archivo, que sólo tienes tú.
  • Enlace cifrado: Permite descargar el archivo descifrado, lo que es una opción menos segura y quizás más parecida al antiguo MegaUpload.

Por otro lado, no es posible hacer streaming de archivos almacenados en Mega, dado que el modelo de encripción de extremo a extremo excluye cualquier manipulación del lado del servidor de datos, que serían necesarios para implementar una transmisión por streaming. Los servicios que dependían de MegaUpload para obtener contenidos no podrán usar a Mega como lo hacían antes.

La estrategia de Mega definitivamente hace muyy difícil que un contenido alojado en su nube pueda ser denunciado por copyright, ya que es imposible descifrarlo sin la llave correspondiente, que no está en manos de Mega.

Pero Mega no lo hace por vos, simplemente están protegiéndose a sí mismos de los archivos que la gente sube. La compañía simplemente no sabe lo que subimos a menos que alguien denuncie directamente qué archivo está violando el copyright, incluyendo el enlace y la llave para descifrar el archivo. Así, no puede ser culpable de “facilitar” la piratería porque simplemente no puede saber qué es ilegal y qué no.

Mega es completamente ignorante respecto a lo que guarda, y si hay piratería, es culpa de los usuarios, que son los responsables de subir el material y de compartirlo – ya que son ellos los que tienen la única forma de acceso a los archivos, que tuvo que ser otorgada conscientemente a otros.

 

 

6 Respuestas

  1. fede dice:

    Buenisima la nota. Muy bien explicada

  2. Gladys dice:

    al subir un archivo y generar el link y enviarselo a otra persona , al bajarlo le pide una clave de encriptado., cual es esa clave o como se genera? yo solo tengo la clave de abrir Mega. Esto pasa con algunos archivos y otros no. Por que sucede esto?
    Gracias.

    • Hola Gladys, fijate que cuando generas el archivo para compartir, te da la opción de incluir la clave o no en la URL generada. Tienes que incluirla para que la persona pueda acceder instantaneamente:

  3. K.A.R.R. dice:

    Saludos.

    Acabo de cambiar mi contraseña de M.E.G.A. por otra más larga y más fácil de recordar, y doy fe de que no me han cambiado para nada las claves para descifrar cada archivo (ese «chorizo» de caracteres que sale en cada URL de descarga). Lo he comprobado. Primero copié las URLs de los archivos que tengo en el «directorio raíz» con la contraseña inicial y luego, otra vez después de aplicar la nueva contraseña. No han cambiado en absoluto.

    Quizá tenga algo que ver la explicación que dan en el «blog» de M.E.G.A.; que lo que se hace es re-encriptar la clave maestra ?que ésa sí se guarda en los servidores? con la nueva contraseña. La contraseña «desbloquea» la clave maestra, que sirve para «desbloquear» las claves de los archivos, carpetas… La cosa es que si lo ÚNICO que se hace es re-encriptar la clave maestra en base a la nueva contraseña, es evidente que la clave maestra sigue siendo la misma. Y si sigue siendo la misma, lo lógico es que siguieran sirviendo las mismas claves de archivos/carpetas…

    Bueno, ahí queda eso.

  4. Rodrigo dice:

    Ya es posible cambiar la contraseña, sólo se debe ir a «Mi cuenta».

    • Marcelo dice:

      Podés cambiar la contraseña, pero eso inutiliza la llave de cifrado de los archivos que tengas subidos. Cuidado con eso.