Dropbox es la plataforma de compartición de ficheros más popular en el mundo. Más de 500 millones de usuarios usan Dropbox cada mes y comparten más de 1 billón de ficheros al día. Esto es una cantidad asombrosa de datos pero, ¿está Dropbox proporcionando suficiente seguridad a sus usuarios?
Un historial preocupante
La seguridad de Dropbox se comprometió por sus propios errores en 2011 cuando subieron una actualización que no había sido suficientemente revisada y probada de su plataforma. Esta actualización tenía un fallo importante que permitía acceder a las cuentas de los usuarios con cualquier contraseña. El fallo estuvo activo durante más de 4 horas y comprometió aproximadamente 1 millón de cuentas en ese momento. Mientras que los hackers tienen que trabajar incansablemente para romper las defensas de seguridad y poder entrar en un sistema, Dropbox abrió la puerta para ellos durante casi 5 horas.
Esto causó estragos en la comunidad de internet porque no sólo 200 millones de usuarios estuvieron expuestos, sino que los datos altamente sensibles de 8 millones de cuentas de negocios también se vieron comprometidos. El 97% de las compañías Fortune 500 utilizan Dropbox a diario y este fallo en el sistema cuestiona la seguridad de todos los servicios de almacenamiento en la nube. Este fallo llegó en un momento crucial, porque tanto Apple como Google estaban pidiendo en ese momento a sus clientes que almacenaran sus datos personales en sus servicios de almacenamiento en la nube. El compromiso en la seguridad de Dropbox fue un recordatorio oportuno de por qué no debemos confiar en estas empresas para proteger nuestros datos.
Poca seguridad, poca comunicación
La principal preocupación con estas brechas de seguridad es la falta de comunicación con los usuarios. La mayoría de las empresas en la actualidad dependen mucho de su imagen de marca y si noticias como estas sale a la luz se exponen a que los precios de sus acciones caigan drásticamente. Sony esperó días para informar a sus clientes sobre el hackeo que sufrió y Dropbox no comunicó el problema correctamente a sus clientes. En lugar de ello, consideró el fallo como algo menor, cuando la total exposición de las cuentas de sus usuarios no es en absoluto algo menor sino una gran falta de seguridad.
Cuatro años más tarde, Dropbox reveló que subestimaron el impacto de ese error y que en lugar de 1 millón de cuentas, fueron más de 68 millones de cuentas las que se vieron comprometidas. Una situación cuando menos embarazosa porque le llevó a la empresa cuatro años calcular, o al menos publicar, el impacto de sólo cuatro horas de falta de seguridad. Esto ha causado la indignación entre los usuarios, especialmente entre las empresas, ya que utilizan Dropbox para compartir información muy importante cada día.
Hablamos del efecto de un único fallo de seguridad, imagínese lo que diez brechas pueden hacer con Dropbox. Christopher Soghoian[1] también reveló que Dropbox mintió a sus clientes respecto a que sus empleados no tenían acceso a los archivos almacenados. En realidad, algunos empleados ven lo que los usuarios suben a su cuenta de Dropbox. Esto se considera como una violación de la privacidad y los usuarios podrían incluso llevar a Dropbox a los tribunales por este motivo.
Otras compañías como Apple, Google y Microsoft han tomado precauciones para evitar lapsos de seguridad como los de Dropbox pero nada está garantizado. La falta de un cifrado adecuado para proteger la privacidad del usuario en estos servicios es una gran preocupación para las empresas.
Hazlo tu mismo
La mejor forma de transferir datos es usando cifrado de extremo a extremo, donde sólo el emisor de la información y el destinatario pueden acceder a ella, y no el proveedor del servicio. Dropbox no proporciona cifrado de extremo a extremo, por lo que puede ver la información que se transmite. En segundo lugar, Dropbox mantiene archivo de los datos desde un mínimo de 30 días hasta 1 año dependiendo de su suscripción. Esto significa que incluso aunque el usuario borre sus ficheros de Dropbox, un hackeo en uno de los servidores de la plataforma siempre podría ocasionar el robo de esta información que el usuario creía eliminada.
Por todas estas razones, siempre es mejor que el usuario tome cartas en el asunto y se encargue de cifrar sus datos antes de subirlos a Dropbox y servicios similares. SMiD Cloud hace exactamente eso, cifra los datos del usuario de manera automática, mediante el algoritmo de cifrado AES de 256 bits antes de subirlos en cualquier servicio de almacenamiento en la nube, y todas las claves criptográficas se generan, utilizan y mantienen dentro de SMiD, bajo el control del dueño de la información.