Los investigadores de ciberseguridad han descubierto graves problemas criptogr\u00e1ficos en varias plataformas de almacenamiento en la nube cifradas de extremo a extremo (E2EE) que podr\u00edan explotarse para filtrar datos confidenciales.<\/p>\n
“Las vulnerabilidades var\u00edan en gravedad: en muchos casos un servidor malicioso puede inyectar archivos, manipular datos de archivos e incluso obtener acceso directo a texto plano”, afirman los investigadores de ETH Zurich Jonas Hofmann y Kien Tuong Truong dicho<\/a>. “Sorprendentemente, muchos de nuestros ataques afectan a m\u00faltiples proveedores de la misma manera, revelando patrones de falla comunes en dise\u00f1os criptogr\u00e1ficos independientes”.<\/p>\n Las debilidades identificadas son el resultado de un an\u00e1lisis de cinco proveedores principales, como Sync, pCloud, Icedrive, Seafile y Tresorit. Las t\u00e9cnicas de ataque ideadas se basan en un servidor malicioso que est\u00e1 bajo el control de un adversario, que luego podr\u00eda usarse para atacar a los usuarios de los proveedores de servicios.<\/p>\n Una breve descripci\u00f3n de las fallas descubiertas en los sistemas de almacenamiento en la nube es la siguiente:<\/p>\n Estos ataques se clasifican en una de las 10 clases amplias que violan la confidencialidad, apuntan a datos y metadatos de archivos y permiten la inyecci\u00f3n de archivos arbitrarios:<\/p>\n “No todos nuestros ataques son de naturaleza sofisticada, lo que significa que est\u00e1n al alcance de atacantes que no necesariamente son expertos en criptograf\u00eda. De hecho, nuestros ataques son muy pr\u00e1cticos y pueden llevarse a cabo sin recursos significativos”, dijeron los investigadores en un documento adjunto.<\/p>\n “Adem\u00e1s, si bien algunos de estos ataques no son novedosos desde una perspectiva criptogr\u00e1fica, enfatizan que el almacenamiento en la nube E2EE, tal como se implementa en la pr\u00e1ctica, falla a un nivel trivial y, a menudo, no requiere un criptoan\u00e1lisis m\u00e1s profundo para romperlo”.<\/p>\n Si bien Icedrive opt\u00f3 por no abordar los problemas identificados luego de la divulgaci\u00f3n responsable a fines de abril de 2024, Sync, Seafile y Tresorit reconocieron el informe. The Hacker News se ha comunicado con cada uno de ellos para obtener m\u00e1s comentarios y actualizaremos la historia si recibimos una respuesta.<\/p>\n Los hallazgos se producen poco m\u00e1s de seis meses despu\u00e9s de que un grupo de acad\u00e9micos del King’s College London y ETH Zurich detallaran tres ataques distintos contra la funci\u00f3n E2EE de Nextcloud de los que se podr\u00eda abusar para violar las garant\u00edas de confidencialidad e integridad.<\/p>\n “Las vulnerabilidades hacen que sea trivial para un servidor Nextcloud malicioso acceder y manipular los datos de los usuarios”, afirman los investigadores. dicho<\/a> en ese momento, destacando la necesidad de tratar todas las acciones del servidor y las entradas generadas por el servidor como adversarias para abordar los problemas.<\/p>\n En junio de 2022, los investigadores de ETH Zurich tambi\u00e9n demostraron una serie de problemas de seguridad cr\u00edticos en el servicio de almacenamiento en la nube MEGA que podr\u00edan aprovecharse para romper la confidencialidad e integridad de los datos del usuario.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Los-investigadores-descubren-graves-fallas-de-seguridad-en-los-principales.png\")
<\/a><\/center><\/div>\n\n
\n
\n
\n
\n
\n
<\/a><\/center><\/div>\n