¿Crees que tus archivos ZIP protegidos por contraseña son privados? Microsoft entra dentro para buscar malware

Un experto en malware ha descubierto que Microsoft es capaz de entrar dentro de archivos comprimidos ZIP protegidos por contraseña, para escanearlos en busca de virus. ¿Cómo lo hace?

Andrew Brandt es un investigador que trabaja analizando archivos infectados, para saber cómo funcionan los nuevos tipos de malware. Comparte ejemplos de archivos infectados con sus colegas a través de la nube de Microsoft, usando la herramienta SharePoint.

Estos archivos están comprimidos con ZIP y protegidos con contraseña precisamente para que, si se pierden o alguien los roba, no los instalen.

El espionaje en los archivos ZIP protegidos por contraseña

Pero ayer ocurrió algo extraño. Cuando accedió a sus archivos, comprobó que Microsoft había marcado dos de ellos como malware.

Esto solo es posible si se ha saltado la contraseña, y ha entrado dentro del archivo comprimido, para escanear lo que hay en su interior. ¿Como puede hacer esto Microsoft, si no conoce la clave? ¿Acaso crackea la contraseña para buscar virus?

Es cierto que hoy en día la encriptación de los ficheros ZIP ha sido superada, y se puede crackear de forma relativamente sencilla. Pero es impensable que Microsoft haga eso.

Andrew Brandt los explica en Infosec. Para proteger sus archivos comprimidos ZIP con muestras de malware, usaba una clave poco eficiente: "infected". Según explican expertos de seguridad en los comentarios, Microsoft tiene una lista de contraseña muy usadas, que emplea con los ficheros ZIP.

Otro investigador asegura, y esto es más inquietante, aunque no hemos podido confirmarlo, que Microsoft rastrea los emails en busca de posibles contraseñas de ficheros ZIP.

El alivio es, por tanto, que Microsoft no crackea contraseñas ZIP, como era de esperar. Pero resulta inquietante que use contraseñas conocidas o rastree claves en los emails para acceder a esos ficheros y escanerlos, si es que eso es cierto.

Se supone que un fichero con contraseña es privado, y nadie debería entrar sin pedir permiso. Incluso aunque solo sea para escanear en busca de malware de forma anónima, nadie garantiza que no se espíen otras cosas, o que un empleado deshonesto pueda hacerlo.

Pero es lo que tiene trabajar en la nube, que será más rápido y cómodo, pero la privacidad es nula.

Para el investigador Andrew Brandt supone un problema adicional, porque esos archivos marcados como malware están bloqueados, y ha perdido espacio que necesita para seguir compartiendo archivos con muestras de malware con sus colegas.

Una vez más, los límites de la privacidad en la nube, en entredicho. La solución está en usar ficheros encriptados con AES-256, elegir una contraseña más robusta que "infected"... o volver al pendrive o los FTPs...