Se Han Encontrado Fallas de Seguridad Severas en las Principales Plataformas de Almacenamiento en la Nube

Los investigadores en ciberseguridad de ETH Zurich han descubierto vulnerabilidades criptográficas severas en varias plataformas de almacenamiento en la nube cifradas de extremo a extremo (E2EE).

Estas vulnerabilidades podrían permitir a un actor malicioso acceder ilegalmente a los datos sensibles de los clientes.

Jonas Hofmann y Kien Tuong Truong, investigadores de ETH Zurich, en un nuevo informe, revelan que en el contexto de un servidor malicioso, realizaron un análisis criptográfico en profundidad sobre cinco importantes proveedores de almacenamiento en la nube E2EE: Sync, pCloud, Icedrive, Seafile y Tresorit, que en conjunto tienen más de 22 millones de usuarios y expusieron sus afirmaciones de seguridad en el mercado de servicios de almacenamiento.

“Las vulnerabilidades que permean el almacenamiento en la nube E2EE destacan un punto ciego crítico en nuestra comprensión del campo. Nuestros hallazgos sugieren fuertemente que, en su estado actual, el ecosistema de almacenamiento en la nube E2EE está en gran medida roto y requiere una reevaluación significativa de sus fundamentos”, escribieron Truong y Hofmann en el informe.

Los investigadores basaron su análisis en un modelo de amenaza en el que un atacante tiene control sobre un servidor malicioso y la capacidad de leer, modificar e inyectar datos a voluntad, un enfoque realista para actores de estados-nación y hackers altamente capacitados.

Tras el análisis, los investigadores descubrieron vulnerabilidades en las cinco plataformas que permitían a un servidor malicioso bajo el control de un adversario inyectar fácilmente archivos en el almacenamiento cifrado de los usuarios a voluntad, manipular los datos de los archivos e incluso obtener acceso directo al contenido de los archivos.

Esto contradijo las afirmaciones de marketing de las plataformas y dio a los clientes una falsa sensación de seguridad respecto a la seguridad de sus datos.

Los investigadores identificaron diez clases de ataques en las cinco plataformas de almacenamiento en la nube, que se dividieron en cuatro categorías: confidencialidad, datos del archivo objetivo, metadatos y la inyección de archivos arbitrarios en el almacenamiento del usuario.

Veamos las clases de ataque:

• Falta de material de clave autenticado que permite a los atacantes insertar sus propias claves de cifrado (Sync y pCloud)

• Claves públicas no autenticadas (Sync y Tresorit)

• Downgrade del protocolo de cifrado que permite intentar un ataque de fuerza bruta a las contraseñas de los usuarios (Seafile)

• Problemas de compartición de enlaces que codifican la contraseña necesaria para descifrar (Sync)

• Modos de cifrado no autenticados como CBC que permiten a un atacante manipular el contenido de los archivos de manera semi-controlada (Icedrive y Seafile)

• Fragmentación no autenticada de archivos que permite a un adversario intercambiar fragmentos y eliminar fragmentos de archivos (Seafile y pCloud)

• Manipulación de nombres y ubicaciones de archivos (Sync, pCloud, Seafile e Icedrive)

• Manipulación de metadatos de archivos (afecta a los cinco proveedores)

• Inyección de carpetas (Sync)

• Inyección de claves de archivos maliciosos, junto con contenido de archivos maliciosos en el almacenamiento del usuario (pCloud)

“No todos nuestros ataques son sofisticados por naturaleza, lo que significa que están al alcance de atacantes que no necesariamente son expertos en criptografía. De hecho, nuestros ataques son altamente prácticos y pueden llevarse a cabo sin recursos significativos”, añadieron los investigadores.

“Además, aunque algunos de estos ataques no son novedosos desde una perspectiva criptográfica, enfatizan que el almacenamiento en la nube E2EE tal como se implementa en la práctica falla a un nivel trivial y a menudo no requiere un análisis criptográfico más profundo para romperlo.”

Al encontrar las vulnerabilidades, Hofmann y Truong siguieron prácticas de divulgación ética y notificaron a Sync, pCloud, Seafile e Icedrive sobre sus hallazgos el 23 de abril de 2024, con una ventana de divulgación estándar de 90 días.

Mientras que Seafile e Icedrive reconocieron el problema, el equipo de Icedrive ha optado por no abordar los problemas planteados. Por otro lado, Seafile ha prometido corregir el problema de downgrade del protocolo con una futura actualización.

Además, el 27 de septiembre de 2024, los investigadores contactaron a Tresorit para discutir posibles mejoras en sus diseños criptográficos particulares.

Pcloud aún no ha comentado sobre el informe de los investigadores, mientras que Sync, en una declaración a BleepingComputer, dijo: “Nuestro equipo de seguridad se dio cuenta de estos problemas la semana pasada, y desde entonces hemos tomado medidas rápidas para abordarlos. También nos hemos puesto en contacto con el equipo de investigación para compartir hallazgos y colaborar en los próximos pasos.”