Cronología de los problemas de seguridad de Dropbox

Dropbox fue el primer servicio de almacenamiento en la nube convencional disponible y ha abierto muchos caminos para la industria. Lamentablemente, también ha cometido muchos errores a lo largo de los años, el peor de los cuales fue la vulneración de Dropbox de 2012, la mayor que ha visto la industria. Hemos elaborado esta cronología de los problemas de seguridad de Dropbox para que usted mismo pueda decidir si este sigue siendo el proveedor adecuado para usted.

Si después de leer esto usted está listo para dar el salto, consulte esta guía rápida para eliminar su cuenta de Dropbox. Y, por último, mientras considera una alternativa a Dropbox, también compartimos a continuación información sobre Proton Drive, que es mucho más seguro.

• Vulneraciones de seguridad de Dropbox: cronología
  • 2011
  • 2012
  • 2013
  • 2017
  • 2018
  • 2022
• ¿Qué puede usar usted en lugar de Dropbox?

Vulneraciones de seguridad de Dropbox: cronología

Dropbox se puso en marcha en 2008 y, desde 2011, ha sufrido algún tipo de vulneración casi todos los años, aunque el ritmo se ha ralentizado algo recientemente. Aun así, a la hora de decidir en qué servicio de almacenamiento en la nube confiar sus archivos, es importante fijarse en su historial.

2011: error de contraseña de Dropbox

El primer escándalo de Dropbox se produjo en junio de 2011, apenas tres años después de su fundación. Debido a un error, durante un periodo de unas cuatro horas, el sistema de Dropbox aceptaría cualquier contraseña(nueva ventana) que se le diera, lo que significaba que cualquiera podía obtener acceso a cualquier cuenta siempre que conociera el nombre de usuario o el correo electrónico; un buen argumento para utilizar un nombre de usuario seguro.

Dicho esto, cabe señalar que el equipo de Dropbox tardó solo cinco minutos en solucionar el problema una vez que se le notificó. Sin embargo, durante esas cuatro horas, todas las cuentas de Dropbox estuvieron totalmente expuestas. Fue pura suerte que ningún atacante se enterara de la vulnerabilidad en ese lapso de tiempo.

2012: vulneración de Dropbox, 68 millones de contraseñas comprometidas

En julio de 2012, Dropbox informó(nueva ventana) que algunos nombres de usuario y contraseñas fueron robados de otros sitios y luego utilizados para acceder a Dropbox (una buena razón para crear contraseñas seguras para cada sitio por separado). Dropbox respondió implementando medidas de seguridad para dificultar el acceso no autorizado.

Hasta ahí todo bien, pero en 2016 se supo que Dropbox no había contado toda la historia(nueva ventana): entre los hackeados en 2012 se encontraba un empleado de Dropbox que también había utilizado la contraseña de su empresa en LinkedIn. Esto dio a los atacantes acceso a los sistemas de Dropbox.

Cuando la historia salió a la luz en 2016 (cuatro años después de la vulneración inicial), se supo rápidamente que alrededor de 68 millones de usuarios se habían visto comprometidos, lo que lo convirtió en el mayor hackeo en la historia del almacenamiento en la nube y en uno de los más grandes en la historia de internet. Además, estuvo el escándalo de que Dropbox, una empresa enorme, tardara cuatro años en reconocer la verdadera magnitud del daño causado.

2013: alegatos sobre PRISM

Cuando en 2013 Edward Snowden reveló al periódico The Guardian que el gobierno de los Estados Unidos estaba espiando a personas de todo el mundo a través del programa PRISM, uno de los nombres(nueva ventana) que surgió fue Dropbox. Según Snowden, la empresa estaba ansiosa por trabajar con las autoridades estadounidenses, y la llamó un «aspirante a socio de PRISM(nueva ventana)».

No está claro si Dropbox llegó a unirse al proyecto PRISM (la empresa siempre lo ha negado), pero el hecho de que cualquier servicio de almacenamiento en la nube sea descrito como entusiasta por unirse a una conspiración de vigilancia masiva debería, probablemente, hacer que las personas se detengan a reflexionar.

2017: datos resucitados

En enero de 2017, algunos usuarios de Dropbox se encontraron con algo muy extraño: archivos que habían eliminado, en algunos casos hacía años, reaparecieron de repente en sus cuentas de Dropbox. Tras investigar un poco, Dropbox descubrió que un error(nueva ventana) se había infiltrado en el código, lo que impedía que los archivos y carpetas se eliminaran de forma permanente.

Aunque al principio pueda parecer inofensivo, a menudo eliminamos archivos por una razón, y el hecho de que datos potencialmente sensibles hayan permanecido en una especie de existencia fantasmal incluso después de haber sido destruidos es un problema muy grave. Una vez más, no es algo que se esperaría de una empresa como Dropbox.

2018: datos compartidos sin consentimiento

En julio de 2018, se publicó un interesante estudio de Harvard(nueva ventana) en el que se utilizaron los esfuerzos colaborativos de miles de personas como puntos de datos para determinar cómo pueden trabajar juntos los equipos. Fue un material fascinante que aportó algunos hallazgos muy originales. Sin embargo, los datos utilizados provenían de Dropbox, y a las personas involucradas nunca se les preguntó(nueva ventana) si podían usarse de esa manera.

Aunque los datos utilizados fueron anonimizados antes de enviarlos a los investigadores (algo que no se aclaró en la primera versión del artículo), aun así debería resultarle incómodo que un servicio al que usted le confió sus datos los compartiera con terceros sin su consentimiento, ya fueran anonimizados o no.

Además, se podría argumentar que los datos anónimos no lo son tanto, ya que existen formas de reconstruir la identidad de alguien incluso cuando se eliminan los nombres de los expedientes digitales.

2022: el regreso del ataque de suplantación

El escándalo más reciente de Dropbox ocurrió en noviembre de 2022, cuando una vez más las credenciales de un empleado de Dropbox fueron robadas(nueva ventana) durante un ataque de suplantación.

En esta ocasión, los atacantes se hicieron pasar por GitHub, un sitio donde los desarrolladores almacenan su código. En este caso, los ladrones se llevaron correos electrónicos y contraseñas que pertenecían tanto a empleados de Dropbox como a clientes. También cabe señalar que fue la propia GitHub la que alertó sobre el ataque, no Dropbox.

En respuesta, Dropbox afirmó que en ningún momento los archivos de los clientes estuvieron en peligro, ni tampoco ninguno de sus módulos principales, las piezas que conforman Dropbox y que, por lo tanto, podrían amenazar todo el sistema si quedaran expuestas. Tuvieron suerte, pero es un consuelo pobre para cualquier persona cuyo correo electrónico haya sido utilizado por ciberdelincuentes.

¿Qué puede usar en lugar de Dropbox?

Como demuestra la cronología anterior, Dropbox podría hacerlo mucho mejor de lo que lo hace (y de lo que lo ha hecho). Aunque no llega a los niveles de gravedad de LastPass, ha fallado en más de una ocasión. A menudo, el alcance y la gravedad de los incidentes no fueron reportados por Dropbox, lo que sugiere una falta de conciencia o transparencia. Y, en la mayoría de los casos, las vulneraciones fueron causadas por prácticas de seguridad deficientes.

En particular, la falta de cifrado de extremo a extremo de Dropbox es preocupante. Cuando un servicio de almacenamiento en la nube protege sus archivos con cifrado de extremo a extremo, significa que sus datos se cifran en su dispositivo antes de ir a la nube. Cualquier vulneración posterior de los servidores en la nube no daría lugar a que ningún dato quedara expuesto. Entramos en más detalles sobre estos temas y otros más en nuestro artículo sobre la seguridad de Dropbox.

Teniendo en cuenta estas deficiencias de los principales proveedores de almacenamiento en la nube, desarrollamos Proton Drive, una alternativa segura con cifrado de extremo a extremo que ofrece seguridad de primer nivel y una experiencia de usuario agradable, todo en uno. Incluso si quisiéramos ver sus datos (y no queremos, porque nuestro modelo de negocio consiste en proteger su privacidad), simplemente no podríamos acceder a ellos de ninguna manera.

Esta promesa de privacidad ha estado en el corazón de Proton desde nuestra fundación y, gracias a quienes nos apoyan, hemos podido cumplirla sin necesidad de financiación externa. Por lo tanto, nuestra única obligación es con usted, nuestra comunidad.

Si le parece bien utilizar una opción de almacenamiento en la nube segura y privada, únase a Proton Drive gratis y pruebe cómo sería una web privada.