Guardar nuestros archivos personales en la nube puede ser muy útil y cómodo. Gracias a ella podemos almacenarlos en un lugar seguro, a modo de copia de seguridad, de manera que, si se pierden, podamos recuperarlos desde allí. Además, gracias a ella podemos acceder siempre a nuestros datos desde cualquier lugar solo usando una conexión a Internet. Sin embargo, delegar nuestros archivos más importantes a una empresa privada, sobre la que no sabemos nada en cuanto a funcionamiento ni medidas de seguridad, es muy arriesgado. Y, en cualquier momento, podemos encontrarnos con que ha sufrido un ataque informático, como le ha pasado a Dropbox.
Dropbox es una de las nubes más grandes y conocidas, tanto para uso personal como para uso profesional, que podemos encontrar en la red. Esta fue una de las primeras plataformas de almacenamiento en la nube que vieron la luz del día, y, a pesar de la llegada de muchas otras alternativas, sigue siendo una de las más grandes y utilizadas a diario.
Sin embargo, a menudo solemos confiar en este tipo de plataformas de almacenamiento, y subimos nuestros archivos pensando que van a estar seguros y protegidos mientras usemos una contraseña segura. Sin embargo, en cualquier momento, pueden quedar expuestos como pasó a esta nube el pasado 14 de octubre.
Un ataque permitió el acceso al código fuente de Dropbox
El 14 de octubre, GitHub notificaba a los responsables de Dropbox sobre una actividad extraña en su cuenta. Tras un breve proceso de investigación descubrieron que, a causa de un engaño (phishing) a uno de los desarrolladores, un pirata informático consiguió acceder a la cuenta de desarrollo de Dropbox, y descargar el código fuente de más de 130 repositorios.
Hasta aquí todo normal. Sin embargo, en ese código se encontraban credenciales, concretamente claves API privadas, usadas por los desarrolladores para el desarrollo de la plataforma. Además de los certificados de las API, también se han expuesto miles de nombres y direcciones de correo electrónico pertenecientes a empleados de Dropbox, así como de clientes actuales y pasados, clientes potenciales de ventas y proveedores de servicios.
No se sabe exactamente a qué partes del código accedió este pirata, ni si descargó el código y ahora lo tiene a la venta en la Dark Net. Lo que sí es seguro es que el tiempo fue muy limitado, y no se inyectó código malicioso en los repositorios. Pero, ¿qué pasa con los datos de los usuarios?
Los datos de los usuarios están seguros
Desde Dropbox aseguran que los datos de los usuarios no se han visto expuestos en ningún momento. Las claves API fueron revocadas al instante, y nadie pudo acceder a ninguno de los archivos guardados en la nube, a las contraseñas ni a la información de pago de absolutamente ningún usuario.
Por suerte, todo ha quedado en un susto, al menos para los usuarios. Ahora Dropbox tiene mucho trabajo por delante para evitar que esto pueda pasarle factura en el futuro y evitar que se vuelva a repetir. Entre otras mejoras, actualmente la plataforma está implementando el sistema WebAuthn, uno de los métodos de autenticación en dos pasos más robustos que podemos encontrar hoy en día. Pero aún no sabemos cuándo estará listo.