Mozilla cierra “Firefox Send” después de informes de malware

ActualidadFirefox

¿Qué haces cuando necesitas enviar un archivo a alguien con quien no interactúas mucho?

Muchos usamos archivos adjuntos en los emails para archivos poco pesados, porque de esa manera es rápido y fácil compartir pequeñas cantidades datos.

Claro, el archivo adjunto probablemente estará en el buzón del destinatario durante días, meses o incluso años, lo que podría no ser lo que tenías en mente pero cuando envías un archivo a otra persona, no puedes controlar lo que hace con él de todos modos, ni cuánto tiempo lo guardara, ni su visibilidad en su red corporativa después de guardarlo.

Pero el correo electrónico no es bueno para archivos pesados, como por ejemplo de audio o vídeo, porque la mayoría de los servidores tienen un límite bastante bajo en el tamaño de los mensajes para evitar que el sistema se bloquee con archivos adjuntos.

Por lo tanto, la alternativa habitual para enviar archivos que no puedes o no deseas compartir por email es utilizar un servicio para compartir archivos, que es como usar el correo web, sin la parte de mensajería.

Sube el archivo a un sitio para compartir elementos, configura varias opciones que describen qué usuarios pueden verlo y durante cuánto tiempo, y luego envías al destinatario un cemail o que contiene un enlace de descarga donde puede buscar el archivo cuando lo desee.

Esa preocupación recurrente

Sin embargo, si utilizas habitualmente los servicios para compartir archivos, estamos seguros de que has experimentado esa preocupación cada vez que navegas por la lista de archivos que has compartido en el pasado, especialmente si estabas enviando un archivo a alguien que no tratas con frecuencia.

¿Qué fue del archivo test-footage-march-unedited.mov que enviaste una vez, y quiénes son los cuatro usuarios en la lista de control de acceso?

¿Puedes eliminar el archivo temporal-backup-of-event-pics.zip que compartiste hace dos años, y del que hiciste una copia de seguridad permanente, y si es así, dónde terminó el archivo backup-to-keep-forever.zip?

La molestia, y el pequeño pero siempre presente riesgo de ciberseguridad, al dejar una serie de archivos viejos en varios sitios web de terceros, es un problema que nos afecta a muchos por eso somos usuarios ocasionales pero entusiastas de Firefox Send, un servicio gratuito de Mozilla que tiene como objetivo permitir compartir archivos pesados fácilmente, pero sin preocuparse por lo que se comparte y se olvida.

Cuando subes un archivo a send PUNTO firefox PUNTO com, se cifra en tu navegador antes de enviar cualquier dato a la nube; la clave de descifrado se codifica en la URL para descargar el archivo; y el enlace así generado es (por defecto, al menos) válido para una descarga o 24 horas, lo que ocurra primero.

Si el destinatario descarga el archivo usando el enlace que le envías, los datos se descifran en su navegador solo después de que se ha descargado, y luego desaparecen de los servidores de Mozilla para siempre.

Si tanto tú como el destinatario os olvidáis del archivo subido, desaparece de todos modos y no tienes que preguntarte si todavía está en algún lugar para que alguien más lo descargue.

Si bien el archivo todavía está en los servidores de Mozilla, el cifrado previo a la carga significa que incluso Mozilla no puede descifrar el archivo de todos modos, porque solo se cargaron los datos cifrados y no la clave.

(De hecho, dado que los archivos almacenados temporalmente no tienen ninguna utilidad para Mozilla, o para cualquier ciberdelincuente, agente de cumplimiento de la ley, regulador de protección de datos, etc., existen todos los incentivos para que Mozilla elimine los archivos como se prometió, para recuperar espacio en disco que de otra forma se desperdiciaría completamente).

¿Lo que es bueno para un usuario puede serlo también para un ciberdelincuente?

Desafortunadamente, como con tantos servicios en línea simples, gratuitos y efectivos, lo que es bueno para los usuarios también es bueno para los cibercriciminales.

En otras palabras, los delincuentes adoran Firefox Send tanto como nosotros, porque les permite generar enlaces a corto plazo basados ​​en URL confiables para compartir archivos arbitrarios sin dejar ningún rastro de datos en la nube.

El problema es que, en el caso de los ciberdelincuentes, normalmente usan Firefox Send para lo que podríamos llamar “infiltración de datos”, una forma de importar archivos de malware o herramientas de ataque a una red en la que ya han entrado sin llamar la atención para ellos mismos.

Ese tipo de táctica operativa se conoce con el nombre de vivir de la tierra (living off the land), una metáfora ligeramente fuera de lugar, sin duda, pero que ahora se usa ampliamente en la industria de la ciberseguridad con el significado de “encajar perfectamente con el comportamiento cotidiano de la red”.

Al usar Firefox Send, los ciberatacantes no necesitan configurar un servidor de intercambio de archivos propio en una URL de aspecto legítimo, y no tienen que preocuparse por asegurarse de que sus URL caduquen automáticamente después de su uso.

Los enlaces que funcionan solo una vez son una espina para los investigadores de seguridad, porque incluso si logras adquirir una URL completa como un indicador de compromiso, no puedes volver a la URL para investigar qué carga maliciosa podría haber entregado cuando fue usado.

Los ciberdelincuentes también se vuelven más difíciles de rastrear porque su contenido malicioso se esconde efectivamente a la vista de un número IP operado por Mozilla.

¿Ahora qué?

Felicitamos a Mozilla y al equipo de Firefox: siguiendo las recientes sugerencias de investigadores de ciberseguridad sobre que algunos ajustes al servicio podrían ser una buena idea, como un botón [Informar abuso] para que sea rápido y fácil bloquear enlaces poco fiables la compañía ha suspendido su servicio temporalmente para abordar los problemas, en lugar de simplemente ofrecer vagas promesas de analizar los cambios en el futuro:

Firefox Send no está disponible temporalmente mientras trabajamos en mejoras del producto.

Agradecemos su paciencia mientras mejoramos Firefox Send.

La página de aviso en realidad no dice que la interrupción se relaciona con el problema de abuso por parte de ciberdelincuentes, pero Mozilla ha declarado que:

Antes del relanzamiento, agregaremos un mecanismo de informe de abuso para aumentar el formulario de comentarios existente, y solicitaremos a todos los usuarios que deseen compartir contenido con Firefox Send que inicien sesión con una cuenta de Firefox.

Hasta ahora, podías usar Firefox Send sin crear una cuenta de Firefox, aunque eso limitaba tus enlaces a un máximo de 24 horas, pero parece que los días del uso gratuito de Firefox Send han terminado.

No estamos muy seguros la efectividad de las medidas que va a tomar Mozilla en el abuso del servicio por usuarios ocasionales, pero la organización parece decidida a mantener vivo el servicio a la vez que abordan las preocupaciones de la comunidad.

¿Qué opinas?

¿Tu organización bloquea sitios como Firefox Send?

Si es así, ¿crees que estos cambios harán repensar esa política, dado que las funciones de cifrado automático antes de cargar y el borrado automático después de la descarga te dan dos motivos menos de qué preocuparte al enviar archivos a través de la nube?

 

 

Leave a Reply

Your email address will not be published.