El cifrado de pCloud está roto: ETH Zurich encontró fallos críticos, a pCloud le dio igual

9 min de lectura
cloud-storage pcloud encryption security vulnerability privacy eth-zurich
Tabla de Contenidos

He recomendado pCloud en este sitio. Gano dinero cuando compráis almacenamiento en la nube con ellos. Y ahora tengo que deciros que su cifrado está, aparentemente, roto.

Test de seguridad E2EE en la nube de ETH Zurich: quién aprobó, quién suspendió

ProveedorAtaque de inyección de claveInyección de archivosManipulación de metadatosProblemas de auth. de chunksRespuesta a la divulgación
pCloud ❌ Vulnerable ❌ Vulnerable ❌ Vulnerable ❌ Vulnerable Descartado como 'teórico'
Sync.com ❌ Vulnerable ❌ Vulnerable ❌ Vulnerable N/A Sin respuesta a la divulgación
Icedrive N/A ❌ Vuln. limitada ❌ Vulnerable ❌ Vulnerable Reconocido pero se negó a corregir
Seafile N/A ❌ Vulnerable ❌ Vulnerable ❌ Vulnerable Se comprometió a corrección parcial
Tresorit ✅ No vulnerable ✅ No vulnerable ✅ No vulnerable ✅ No vulnerable Seguro por diseño desde el inicio

Fuente: 'End-to-End Encrypted Cloud Storage in the Wild: A Broken Ecosystem' — ETH Zurich, ACM CCS 2024. Artículo completo: brokencloudstorage.info

En octubre de 2024, los investigadores Jonas Hofmann y Kien Tuong Truong de la ETH Zurich — una de las mejores universidades técnicas del mundo — publicaron un artículo titulado “End-to-End Encrypted Cloud Storage in the Wild: A Broken Ecosystem” en ACM CCS 2024.

Probaron cinco grandes proveedores de almacenamiento en la nube con cifrado de extremo a extremo: pCloud, Sync.com, Icedrive, Seafile y Tresorit.

Cuatro de cinco suspendieron. pCloud fue el peor.

Solo Tresorit aprobó — porque, como señalaron los investigadores, tenía “un diseño comparativamente más cuidadoso y una elección apropiada de primitivas criptográficas.”

¿pCloud? Vulnerable en todas las categorías de ataque probadas.

Divulgación de comisiones por adelantado: Gano dinero con pCloud (afiliado). Gano $0 con Tresorit. Gano $0 con Proton Drive. Estoy a punto de deciros que el complemento de cifrado de pago de pCloud — el mismo que he enlazado en artículos anteriores — tiene fallos de seguridad críticos que pCloud se niega a corregir. Es el mismo enfoque de transparencia que seguí cuando denuncié las mentiras del hosting “ilimitado” de mis propios socios afiliados.

Veredicto en 30 segundos

  • ETH Zurich encontró a pCloud vulnerable en 4 categorías de ataque críticas — inyección de clave, inyección de archivos, manipulación de metadatos y elusión de autenticación de chunks
  • Un servidor malicioso podría descifrar tus archivos “cifrados” forzando a tu cliente a usar una clave controlada por el atacante
  • pCloud descartó los hallazgos como “teóricos” y “basados en condiciones altamente irreales”
  • pCloud no respondió a los intentos de divulgación responsable de los investigadores
  • No se han publicado parches a fecha de marzo de 2026
  • Los usuarios pagan $3.99-$4.99/mes extra por un cifrado Crypto con fallos demostrados
  • Solo Tresorit aprobó el test de seguridad completo — el único almacenamiento en la nube E2EE que realmente funciona como se anuncia
  • Febrero de 2026: usuarios de pCloud reportaron ver archivos de otras personas en sus cuentas — un incidente separado pero preocupante

Lo que ETH Zurich descubrió

Los investigadores probaron cada proveedor contra un modelo de amenaza específico: ¿qué pasa si el servidor está comprometido o es malicioso? Esto importa porque todo el sentido del cifrado de extremo a extremo es que ni siquiera el operador del servidor puede acceder a tus archivos.

Si el cifrado se rompe cuando el servidor es hostil, no es cifrado de extremo a extremo real. Es marketing.

Ataque 1: Claves de cifrado no autenticadas

El hallazgo más crítico. Un servidor pCloud malicioso podría forzar a tu cliente a cifrar archivos usando una clave controlada por el atacante. El atacante podría entonces descifrar esos archivos.

En cristiano: el cliente de cifrado de pCloud no verifica correctamente que la clave de cifrado realmente te pertenece. Un servidor hostil puede meter su propia clave, tu cliente cifra con ella, y el servidor puede leer todo.

Esto anula por completo el propósito del cifrado de extremo a extremo.

Ataque 2: Inyección de archivos

Un servidor malicioso podría colocar archivos en tu almacenamiento que son indistinguibles de los archivos que tú mismo subiste. No tendrías forma de distinguir entre tus archivos reales y los inyectados.

Esto no es solo una molestia teórica — imaginad pruebas fabricadas, documentos manipulados o archivos de phishing apareciendo en vuestro almacenamiento en la nube “cifrado”.

Ataque 3: Manipulación de metadatos

Los nombres de archivos, las estructuras de carpetas y las rutas de archivos no están protegidos en integridad en pCloud. Un servidor malicioso podría renombrar tus archivos, reorganizar tus carpetas o truncar nombres de archivos sin ser detectado.

Tu almacenamiento “cifrado” podría reorganizarse silenciosamente y nunca te enterarías.

Ataque 4: Elusión de autenticación de chunks

pCloud divide los archivos en chunks para la subida. Los investigadores descubrieron que estos chunks no están correctamente autenticados — lo que significa que un servidor malicioso podría eliminar o reordenar chunks dentro de un archivo, corrompiendo tus datos de formas que no son inmediatamente visibles.

La respuesta de pCloud: desprecio total

Cuando los investigadores intentaron divulgar estas vulnerabilidades de forma responsable — la práctica estándar en investigación de seguridad donde se notifica a la empresa antes de publicar — pCloud no respondió.

Después de que se publicó el artículo, pCloud emitió un comunicado calificando los hallazgos de “teóricos” y “basados en condiciones altamente irreales que no reflejan amenazas del mundo real.”

Añadieron: “Si surgen ideas aplicables de esta investigación, implementaremos mejoras con prontitud.”

Traducción: “No creemos que esto sea un problema y no vamos a arreglar nada.”

A fecha de marzo de 2026 — más de un año después del intento de divulgación responsable — no se han publicado parches.

Comparad esto con Tresorit, que no necesitó parchear nada porque su cifrado estaba correctamente diseñado desde el principio. O con Seafile, que al menos se comprometió a abordar los problemas.

El patrón de respuesta de pCloud:

  1. Ignoraron a los investigadores
  2. Calificaron los hallazgos de teóricos
  3. No publicaron parches
  4. Siguieron cobrando $3.99-$4.99/mes por Crypto

Después los archivos de los usuarios empezaron a aparecer en cuentas de otras personas

En febrero de 2026 — meses después de que pCloud descartara los hallazgos de ETH Zurich como “teóricos” — usuarios reportaron un incidente separado donde archivos y carpetas de otros usuarios de pCloud se hicieron visibles en sus cuentas.

Algunos usuarios podían descargar esos archivos. Otros podían ver nombres de archivos y metadatos. Esto fue una exposición de datos entre cuentas — uno de los fallos de seguridad más básicos que un proveedor de almacenamiento en la nube puede tener.

¿La respuesta de pCloud? Lo llamaron una “anomalía de sincronización poco frecuente.”

Bajo el RGPD, tenían 72 horas para notificar a los usuarios afectados. No se publicó ninguna notificación RGPD oficial. Los usuarios solo se enteraron a través de los canales de soporte cuando contactaron a pCloud por su cuenta.

Este incidente es independiente de los hallazgos de ETH Zurich sobre el cifrado. Pero pinta un cuadro: una empresa que desprecia la investigación académica de seguridad, no parchea vulnerabilidades conocidas, y luego tiene un incidente fundamental de exposición de datos que minimiza y no divulga correctamente.

Estáis pagando extra por un cifrado roto

Aquí es donde la cosa se pone especialmente indignante: pCloud Crypto es un complemento de pago.

  • Mensual: $3.99-$4.99/mes además de tu plan de almacenamiento
  • De por vida: $150 pago único además de tu compra de almacenamiento de por vida

Los usuarios están pagando un extra por un cifrado del que los investigadores de ETH Zurich demostraron que puede ser eludido por un servidor hostil. Y el almacenamiento por defecto de pCloud — sin Crypto — usa claves de cifrado que pCloud controla, lo que significa que pueden acceder a tus archivos en cualquier momento.

Así que las opciones son:

  1. Sin Crypto: pCloud tiene las claves y puede acceder a tus archivos
  2. Con Crypto: Pagas extra por un cifrado con vulnerabilidades documentadas que pCloud se niega a corregir

Ninguna es aceptable para un servicio que se vende basándose en la seguridad.

Cómo esto cambia mis recomendaciones

He recomendado pCloud en varios artículos en este sitio. He ganado comisiones con esas recomendaciones.

Eso se acaba hoy para los casos de uso centrados en seguridad.

Si usáis pCloud como almacenamiento en la nube cómodo y no os importa el cifrado — sigue funcionando bien para eso. La sincronización es buena, las apps son decentes, los precios (especialmente las ofertas de por vida) son competitivos.

Pero si elegisteis pCloud porque confiabais en su cifrado — si almacenáis documentos sensibles, registros financieros, archivos médicos o cualquier cosa que necesite protección real — tenéis que cambiar.

Qué usar en su lugar

Para almacenamiento en la nube centrado en la privacidad:

Proton Drive — Desde gratis (Comisión: $0)

Para almacenamiento E2EE verificado:

Tresorit — el único proveedor que aprobó el test de ETH Zurich. Su diseño de cifrado fue elogiado como “más cuidadoso” con una “elección apropiada de primitivas criptográficas.” Si necesitáis un cifrado que realmente funcione como se anuncia, Tresorit es la única opción probada. Comisión: $0 (sin relación de afiliación).

Para entender el panorama completo:

Consultad nuestro Mapa del monopolio del almacenamiento en la nube para ver quién es dueño de qué y dónde viven las alternativas independientes.

La verdad incómoda sobre el almacenamiento en la nube “cifrado”

El estudio de ETH Zurich probó cinco proveedores. Cuatro suspendieron. Los servicios con una base de usuarios combinada de más de 22 millones están usando un cifrado que no protege contra la amenaza exacta contra la que se supone que debe proteger — un servidor comprometido o malicioso.

Esto importa porque:

  • Solicitudes gubernamentales: Si un gobierno ordena a pCloud entregar datos, su servidor puede potencialmente descifrar tus archivos “cifrados” usando el ataque de inyección de clave
  • Brechas de datos: Si un atacante compromete los servidores de pCloud, el cifrado no te protege
  • Amenazas internas: Un empleado malicioso podría potencialmente acceder a archivos cifrados

Todo el sentido del cifrado de extremo a extremo es que ninguno de estos escenarios debería importar. Con E2EE correctamente implementado, ni siquiera pCloud debería poder acceder a tus archivos.

Con la implementación actual de pCloud, pueden hacerlo. Y te cobran extra por el privilegio.

No me creáis — verificadlo todo vosotros mismos

Divulgación completa: Gano dinero con pCloud (afiliado). Gano $0 con Tresorit, $0 con Proton Drive. Estoy denunciando los fallos de cifrado de pCloud a pesar de la relación de afiliación — porque recomendar seguridad rota para ganar una comisión no es algo que esté dispuesto a hacer. Mi artículo sobre la oferta de por vida de pCloud será actualizado para reflejar estos hallazgos.

The Angry Dev

NO confíes en los sitios de reseñas. Las comisiones de afiliados dictan sus clasificaciones. Este también es un sitio de afiliados, pero soy honesto sobre lo que gano y clasifico por calidad en lugar de por pago. Incluso si eso significa que me paguen $0. Lee sobre mi enfoque y por qué dejé de mentir. Aquí están los datos en bruto para que puedas verificar todo.

VPNs | Hosting | Almacenamiento | Herramientas

Publicaciones relacionadas

¿Necesitas almacenamiento cloud seguro?

pCloudPlanes de por vida, privacidad suiza
IcedriveInterfaz limpia, cifrado zero-knowledge
Sync.comCifrado de extremo a extremo, privacidad canadiense
Enlaces de afiliado — Puedo recibir una comisión