Un fallo en Dropbox deja al descubierto las cuentas de los usuarios durante cuatro horas

Un fallo en Dropbox deja al descubierto las cuentas de los usuarios durante cuatro horas
Facebook Twitter Flipboard E-mail

Dropbox es la compañía líder en almacenamiento web en la nube a nivel personal para cada usuario, pero últimamente las noticias que nos llegan desde sus oficinas dan bastante que pensar. Primero nos enteramos de que su política de ahorro de costes no es, quizás, la más adecuada, y que además no todo lo que alojamos en Dropbox es secreto. Después, el cambio en su política de seguridad. Ahora ya sabemos algo más preocupante: el pasado domingo, un fallo de seguridad dejó al descubierto las cuentas de los usuarios (y, por tanto, toda la información almacenada) durante cuatro horas.

El bug, al parecer, no requirió grandes trabajos para ser descubierto y un usuario dio con él de casualidad. Simplemente, al entrar loguearte como usuario, el servidor te identificaba correctamente independientemente de que la contraseña proporcionada fuera o no la correcta. Al parecer, y siempre según la propia compañía, este fallo duró cuatro horas. Cuatro horas en las que cualquiera puede haber obtenido acceso a los datos que guardas en Dropbox con un simple click de ratón.

Desde Dropbox aseguran que, en ese periodo de tiempo, tan sólo un 1% de usuarios accedieron al servicio y que, por si acaso, ha cerrado desde entonces todas las sesiones abiertas. Además, se han comprometido a estudiar todos los logs de acceso para notificar a todos los usuarios potencialmente afectados. De momento, la respuesta está siendo ejemplar, pero eso no quita que el fallo haya sido uno de los más graves que ha tenido la compañía hasta ahora.

Este fallo ha sido posible gracias a la arquitectura actual que posee Dropbox. La idea fundamental es que toda encriptación y desencriptación se lleva a cabo en los servidores de Dropbox. De esta manera, si un usuario olvida su contraseña, puede recuperarla y aún puede acceder a sus archivos. Si, en cambio, fuera el usuario el que cifrara sus archivos y perdiera la clave, no habría forma de recuperarlos. Esta simplicidad, por la que se caracteriza este servicio, puede jugar malas pasadas a sus usuarios, como acaba de demostrarse.

¿La solución? Pues si usas habitualmente Dropbox para almacenar información personal y no quieres tener algún disgusto, lo mejor quizás es que te plantees en recurrir a tu propio cifrado de la información, además de las precauciones que siempre recomendamos (contraseña difícil, correo electrónico seguro, etc etc). Aunque, todo sea dicho, Dropbox debería aprender de los errores y tomar medidas para que, en el caso de que alguna vez pase algo similar, los archivos privados de cada usuario no queden tan fácilmente a disposición de cualquiera.

Comunicado oficial | Blog de Dropbox
Vía | Wired
En Xataka ON | Dropbox compromete su seguridad para ahorrar y colaborar con los gobiernos

Comentarios cerrados
Inicio