El hackeo de Dropbox

¿O deberíamos llamarlo “hackeo” entre comillas? Después de todo, el problema al que recientemente ha debido enfrentarse el popular servicio de almancenamiento en la nube no fue provocado por una falla masiva en sus sistemas de seguridad, o por un ataque directo coordinado. Sin embargo, la cuenta comprometida de un único empleado habría sido el disparador de la reacción que llevó a varias semanas de spam en direcciones de correo usadas exclusivamente para Dropbox, sumándose al ingreso no autorizado a cierta cantidad de cuentas de usuario.

De acuerdo a la publicación oficial en el blog de Dropbox, los problemas comenzaron “hace algunas semanas”. Los reportes de spam provenientes de los usuarios se incrementaron llamativamente, y la reacción de Dropbox fue traer un equipo externo de seguridad para evaluar la situación. El primer inconveniente detectado estuvo asociado al robo de nombres de usuario y contraseñas en sitios ajenos a Dropbox. Lamentablemente, algunos usuarios no han dejado de lado la mala costumbre de usar el mismo usuario y la misma contraseña para todos los servicios en línea, lo cual habilitó el acceso a una cantidad no especificada (“pequeña”, según Dropbox) de cuentas. Los usuarios afectados recibieron instrucciones adicionales para mejorar la seguridad en sus cuentas.

Sin embargo, el origen del spam fue un poco más sutil. Entre las cuentas comprometidas estaba una perteneciente a un empleado de Dropbox. Dentro de su cuenta había un documento asociado a un proyecto, con una buena cantidad de cuentas de correo electrónico, usadas por los usuarios de forma exclusiva en Dropbox como direcciones de registro. El acceso no autorizado a este documento sirvió como base para el bombardeo de spam a los usuarios. Aparentemente, el spam apuntaba a personas en el territorio europeo, una idea respaldada por el detalle de que el spam estaba escrito en inglés, alemán y holandés, promocionando diferentes sitios de apuestas en línea.

En resumen, Dropbox ha reconocido la brecha en la seguridad, pero el servicio en la nube no es el único que se encuentra en falta aquí. Para reforzar la protección de sus usuarios, Dropbox ha comenzado a implementar algunos mecanismos similares a los que ya podemos encontrar en los servicios de Google, como la autentificación de dos pasos (contraseña clásica más código enviado al móvil), y el registro de actividad de cuentas, con el objetivo de detectar cada login e identificar cualquier indicio de actividad sospechosa. Aún así, Dropbox sólo puede ofrecer la mitad de la solución. Si un usuario sigue usando el mismo usuario y la misma contraseña para todos sus servicios, no hay sistema reforzado de autentificación que sirva. Por lo tanto, la recomendación número uno para cualquier usuario de Dropbox hoy es generar nuevas contraseñas, lo más robustas y complejas posibles. En su blog oficial, Dropbox recomienda a 1Password, pero también puede usarse KeePass, del cual tenemos un tutorial.

Deja tu voto

0 points
Upvote Downvote

Total votes: 0

Upvotes: 0

Upvotes percentage: 0.000000%

Downvotes: 0

Downvotes percentage: 0.000000%

One Comment

Deja una respuesta
  1. Este sistema de "Keepass" ya lo había escuchado. Lo tiene un Cloud llamado Bajoo desde sus comienzos, el cual utilizo desde hace, más o menos, 1 mes.
    Después de haber visto el tutorial, veo que es super complicado hacer un "Keepass" que protegerá nuestro contenido, pero ¿Quién nos asegura que no seguirán teniendo acceso a nuestros datos?
    El cloud que utilizo nos asegura que no tienen acceso: contraseña y frase secreta para codificar los archivos, y sólo yo conozco estos datos (ni la empresa tiene acceso).
    De verdad, Bajoo es una elección, entre las muchas, que recomendaría.
    Ya no le tengo mucha confianza a Dropbox que digamos…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *