La semana pasada hablábamos de Send, la nueva herramienta creada por Mozilla para Firefox con la que la compañía quiere ofrecer a los usuarios una forma de compartir archivos de forma segura y privada a través del navegador. Esta herramienta es capaz de cifrar archivos de hasta 1 GB para enviarlos de forma segura hasta el destino, solo compartiendo una simple URL. Sin embargo, puede que este servicio no sea tan seguro como garantiza Mozilla.
Como ya explicamos, el funcionamiento de Send es muy sencillo. Cuando queremos enviar un archivo a través de esta plataforma, el archivo se cifra y se sube a la nube de Mozilla, generando una URL para compartir dicho archivo, URL que solo es válida para una descarga o durante 24 horas. Así, cuando mandemos esta URL a la persona que queramos que se descargue el archivo podrá hacerlo fácilmente sin tener que depender de otras plataformas u otros servicios de terceros.
Aunque en la teoría esta es una herramienta segura, en la práctica puede no serlo tanto. Tal como explican en el blog de seguridad HotForSecurity, Send es vulnerable a ataques MITM que, realizados en el momento exacto, pueden permitir a un tercero el robo del archivo que estamos compartiendo a través de la plataforma. SkyTransfer permite enviar archivos seguros y es una alternativa.
Existen dos posibles formas de explotar Firefox Send
Tal como explican los expertos en seguridad, el primero de los fallos se puede explotar mediante un ataque MITM que capture el enlace de Firefox Send en el momento en el que se lo mandamos al destinatario. Aunque el enlace que genera esta plataforma solo es válido para una sola descarga, el servidor tarda varios segundos (más cuanto mayor es el tamaño del archivo) en registrar dicha descarga, por lo que si un intermediario se ha hecho con el enlace y lo ejecuta a la vez, puede descargar sin problemas el archivo a la vez que el emisor.
El otro de los fallos es, la verdad, bastante más peligroso. Firefox Send manda la clave de descifrado del archivo junto al archivo en cuestión. De esta manera, cuando usuario realizando un ataque MITM que se haga con el archivo, por muy cifrado que venga, tendrá sin problemas acceso a la clave, lo que le permitirá descifrarlo sin mucha dificultad.
Mozilla lo único que dice es que «tengamos cuidado con quién compartimos los enlaces» y que «no los compartamos con quienes no queramos que se hagan con el archivo», dos consejos obvios pero que no solucionan el problema de que la plataforma esté expuesta a ataques MITM.
De todas formas, de momento Firefox Send no es más que un experimento de Mozilla, por lo que aún hay posibilidades de que la compañía lo mejore, en caso de que se vaya a convertir en una herramienta definitiva de la compañía, y aplique medidas de seguridad extra a la plataforma, como, por ejemplo, permitirnos cifrar los archivos con nuestras propias claves o proteger las descargas con contraseña de manera que, si mandamos la contraseña al destinatario por otro medio, aunque alguien se haga con el enlace mediante un ataque MITM, no pueda descargarlo.
¿Crees que Send no es tan seguro como promete Mozilla?