¿Es de fiar el cifrado de Mega?

En un tiempo en el que no parece haber nada de fiar, no es extraño que la seguridad del servicio de almacenamiento Mega vuelva a ser cuestionada a raíz de la aparición de Megapwn, un sencillo bookmarklet -un marcador JavaScript- de 32 líneas con el que es posible extraer la clave maestra del servicio, a priori «indescifrable».

Para que Megapwn funcione debe ser ejecutado de manera local, claro, y aquí es donde el asunto pierde tirón, pues con acceso directo a la máquina, a tu sesión, pocas capas de seguridad podrían parar a un experto. No obstante, y ahí está la la duda, es si, como dicen los desarrolladores del bookmarklet, Mega podría hacer lo mismo a través del navegador.

Según Mega, ellos no pueden tener acceso a tu contraseña, pues no se guarda en sus servidores en ningún momento, lo que no solo es beneficioso para la privacidad del usuario, también es una protección del servicio ante posibles demandas por contenidos con copyright, ya que ellos no saben lo que se guarda, previamente cifrado con esa contraseña.

Según los desarrolladores de Megapwn, eso no es cierto, y Mega podría conseguir tu clave maestra cuando quiera. De hecho, es muy recomendable echar un buen vistazo a la página web de Megapwn, donde explican y dan fuentes de interés acerca de este asunto. Porque el cifrado de Mega no se ha roto, pero hay errores de base a los que vale la pena atender.

Así, en lo que a información sensible se trata, aconsejan cifrar los archivos antes de que se almacenarlos en Mega, preferiblemente con la última versión de GPG.