El popular servicio de transferencia de archivos WeTransfer, se enfrenta esta semana al bochorno después de admitir que ha enviado enlaces de archivos a usuarios equivocados.
Fundada en 2009, WeTransfer permite a los usuarios transferir archivos de gran tamaño de forma gratuita. Es una alternativa a los servicios de correo electrónico, que generalmente ponen limitaciones en el tamaño del archivo. Cuenta con 50 millones de usuarios que envían mil millones de archivos cada mes, lo que equivale a un petabyte (1.000 terabytes) de datos.
El servicio, que es rentable desde 2013, ofrece su versión gratuita a través de un modelo publicitario. También ofrece un servicio “Plus” de pago que permite a los usuarios proteger con contraseña sus archivos.
El 21 de junio de 2019, WeTransfer publicó un aviso de seguridad sobre un incidente que había descubierto cinco días antes: el lunes 17 de junio de 2019.
El problema comenzó el 16 de junio de 2019, decía el aviso, añadiendo:
Los correos electrónicos que respaldan nuestros servicios se enviaron a direcciones de correo electrónico involuntarias. Actualmente estamos informando a los usuarios potencialmente afectados y hemos informado a las autoridades pertinentes.
WeTransfer había bloqueado los enlaces y desconectó a los usuarios de sus cuentas, dijo.
El mismo día que apareció el aviso de seguridad, Jamie Brown, CEO del sitio de moda Chicmi, tuiteó una notificación directa que WeTransfer le había enviado:
https://twitter.com/jamiembrown/status/1142027819515617281/photo/1
La parte preocupante:
Hemos descubierto que, una transferencia que usted envió o recibió, también se entregó a algunas personas a las que no debía ir. Nuestros registros muestran que se ha accedido a estos archivos, pero casi seguro por el destinatario deseado.
“Casi seguro” no infundirá mucha confianza a los afectados.
Brown le dijo a Naked Security que el incidente afectó un lote de fotos que un cliente le había enviado el 16 de junio de 2019. Añadió:
Afortunadamente, usamos principalmente WeTransfer para enviar y recibir fotos de nuestra marca para su uso en Chicmi.com, por lo que, en su mayoría, se dirigen al dominio público de todos modos, y lo peor que puede pasar es que se haya incumplido un bloqueo para un próximo evento.
Sin embargo, estoy seguro de que otros no están tan tranquilos al respecto, ¡teniendo en cuenta cómo se utiliza el servicio!
El servicio rival Tresorit se apresuró a comentar el incidente:
In the recent #WeTransfer security incident, they were sending user files to the wrong recipients for two days. This wouldn't have happened if they used end-to-end encryption (see thread).
— Tresorit (@Tresorit) June 24, 2019
Si bien obviamente está tratando de promover su propio servicio, tiene su punto de razón. El cifrado de extremo a extremo impediría que cualquier persona que no sea el remitente y el destinatario de un archivo lo vea. Sin embargo, tendría que hacerse correctamente.
El problema de la protección de archivos con una contraseña, es que es una forma de cifrado simétrico, donde el remitente y el destinatario de un archivo usan el mismo código para acceder al archivo. El remitente no puede enviar el código y el archivo de forma segura a través del mismo canal, ya que un atacante puede interceptar tanto el archivo como el código. En su lugar, deben encontrarse en persona para compartir el código o compartirlo a través de un canal alternativo, como un mensaje de texto o una llamada telefónica. Esto crea sus propios problemas de seguridad y usabilidad.
La criptografía asimétrica (clave pública) es más compleja pero también más segura porque utiliza dos claves digitales para cada usuario: una privada (secreta) que nunca se envía a través de cualquier canal y una pública (no secreta).
El remitente de un archivo utiliza la clave pública del destinatario (que cualquiera puede ver) para cifrarlo. Sólo la clave privada del destinatario puede descifrarla. Siempre que el destinatario la mantenga segura, puede leer un mensaje codificado con su clave pública mientras lo mantiene alejado de los espías.
Como beneficio adicional, el remitente también puede probar su propia identidad al codificar también el archivo con su clave privada. Luego, el destinatario debe pasar por un paso adicional, descifrando el mensaje con la clave pública del remitente. Eso prueba que solo el remitente pudo haber enviado el mensaje, en lugar de un impostor.
El desafío con el cifrado asimétrico, es crear un producto que sea lo suficientemente fácil de usar y oculte toda esa complejidad al usuario. La ventaja es que incluso si el servicio de transferencia de archivos falla y envía sus archivos a la persona equivocada, no serán legibles.
En su forma actual, la versión gratuita de WeTransfer no protege sus archivos con ningún código, lo que causa que el fallo,en el correo electrónico, sea tan problemático.
Existen servicios gratuitos alternativos que ofrecen encriptación de extremo a extremo, como el Firefox Send de Mozilla, lanzado oficialmente en marzo de 2019 después de un período de prueba de dos años. Este utiliza Web Crypto API, que emplea cifrado asimétrico. Permite enviar archivos de 2,5 Gb de tamaño si se tiene una cuenta de Firefox, o 1 Gb si no se tiene.
WeTransfer se negó a responder nuestras preguntas sobre el incidente, refiriéndonos al aviso de seguridad en su web.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: