Dropbox fue el primer servicio de almacenamiento en la nube popular disponible y ha abierto muchos caminos para la industria. Lamentablemente, también ha cometido muchos errores a lo largo de los años; el peor de ellos fue la vulneración de Dropbox de 2012, la mayor que ha visto el sector. Hemos elaborado esta cronología de los problemas de seguridad de Dropbox para que puedas decidir por ti mismo si sigue siendo el proveedor adecuado para ti.
Si después de haber leído esto estás listo para dar el salto, echa un vistazo a esta guía rápida sobre cómo eliminar tu cuenta de Dropbox. Y, por último, mientras consideras una alternativa a Dropbox, también compartimos información a continuación sobre Proton Drive, que es mucho más seguro.
Vulneraciones de seguridad de Dropbox: cronología
Dropbox se fundó en 2008 y desde 2011 ha sufrido algún tipo de vulneración casi todos los años, aunque el ritmo se ha ralentizado un poco recientemente. Aun así, a la hora de decidir en qué servicio de almacenamiento en la nube confiar tus archivos, es importante fijarse en su historial.
2011: error de contraseña de Dropbox
El primer escándalo de Dropbox llegó en junio de 2011, solo tres años después de su fundación. Debido a un error, durante un periodo de unas cuatro horas, el sistema de Dropbox aceptaba cualquier contraseña(ventana nueva) que le dieras, lo que significaba que cualquiera podía acceder a cualquier cuenta siempre que conociera el nombre de usuario o el correo electrónico; un buen argumento para usar un nombre de usuario seguro.
Dicho esto, cabe señalar que el equipo de Dropbox tardó solo cinco minutos en solucionar el problema una vez que fueron notificados. Sin embargo, durante esas cuatro horas, todas las cuentas de Dropbox estuvieron totalmente expuestas. Fue pura suerte que ningún atacante descubriera la vulnerabilidad en ese lapso de tiempo.
2012: vulneración de Dropbox, 68 millones de contraseñas comprometidas
En julio de 2012, Dropbox informó(ventana nueva) de que algunos nombres de usuario y contraseñas habían sido robados de otros sitios y utilizados después para acceder a Dropbox (una buena razón para crear contraseñas seguras para cada sitio por separado). Dropbox respondió desplegando medidas de seguridad para dificultar el acceso no autorizado.
Hasta ahí todo bien, pero en 2016 se supo que Dropbox no había contado toda la historia(ventana nueva): entre los hackeados en 2012 se encontraba un empleado de Dropbox que también había utilizado su contraseña de la empresa en LinkedIn. Esto dio a los atacantes acceso a los sistemas de Dropbox.
Cuando la historia salió a la luz en 2016 (cuatro años después de la vulneración inicial), pronto se supo que unos 68 millones de usuarios se habían visto afectados, lo que lo convirtió en el mayor hackeo de la historia del almacenamiento en la nube y uno de los más importantes de la historia de Internet, y punto. Además, estaba el escándalo de que Dropbox, una empresa enorme, tardara cuatro años en reconocer la magnitud real del daño causado.
2013: alegaciones sobre PRISM
Cuando en 2013 Edward Snowden reveló al periódico The Guardian que el Gobierno de Estados Unidos espiaba a personas de todo el mundo a través del programa PRISM, uno de los nombres(ventana nueva) que aparecieron fue Dropbox. Según Snowden, la empresa estaba ansiosa por colaborar con las autoridades estadounidenses, calificándola de «aspirante a socio de PRISM(ventana nueva)».
No está claro si Dropbox llegó a unirse al proyecto PRISM (la empresa siempre lo ha negado), pero probablemente debería hacerte reflexionar el hecho de que cualquier servicio de almacenamiento en la nube sea descrito como alguien entusiasmado por unirse a una conspiración de vigilancia masiva.
2017: datos resucitados
En enero de 2017, algunos usuarios de Dropbox se encontraron con algo muy extraño: archivos que habían eliminado, en algunos casos años atrás, reaparecieron de repente en sus cuentas de Dropbox. Tras investigar un poco, Dropbox descubrió que un error(ventana nueva) se había colado en el código que impedía que los archivos y carpetas se eliminaran permanentemente.
Aunque al principio pueda parecer inofensivo, a menudo eliminamos archivos por un motivo, y el hecho de que datos posiblemente sensibles hayan podido seguir viviendo una existencia fantasmal incluso después de haber sido destruidos es un problema muy grave. Una vez más, no es algo que esperarías de una empresa como Dropbox.
2018: datos compartidos sin consentimiento
En julio de 2018, se publicó un interesante estudio de Harvard(ventana nueva) en el que se utilizaron los esfuerzos de colaboración de miles de personas como puntos de datos para determinar cómo pueden trabajar los equipos de forma conjunta. Un material fascinante que dio lugar a hallazgos muy originales. Sin embargo, los datos utilizados procedían de Dropbox, y a las personas implicadas nunca se les preguntó(ventana nueva) si podían utilizarse de esa forma.
Aunque los datos utilizados se anonimizaron antes de enviarse a los investigadores (algo que no quedó claro en la primera versión del artículo), debería resultarte incómodo que un servicio al que confiaste tus datos los compartiera con terceros sin tu consentimiento, de forma anónima o no.
Además, se podría argumentar que los datos anónimos no son tan anónimos, ya que existen formas de reconstruir la identidad de alguien incluso cuando se eliminan los nombres de los expedientes digitales.
2022: el regreso del ataque de suplantación
El escándalo más reciente de Dropbox fue en noviembre de 2022, cuando una vez más robaron(ventana nueva) las credenciales de un empleado de Dropbox durante un ataque de suplantación.
En esta ocasión, los atacantes se hicieron pasar por GitHub, un sitio donde los desarrolladores guardan su código. En este caso, los ladrones se hicieron con correos electrónicos y contraseñas pertenecientes tanto a empleados como a clientes de Dropbox. También hay que señalar que fue la propia GitHub la que alertó del ataque, no Dropbox.
En respuesta, Dropbox afirmó que en ningún momento peligraron los archivos de los clientes ni ninguno de sus módulos principales, las partes que componen Dropbox y que, por tanto, podrían amenazar a todo el sistema si quedaran expuestas. Tuvieron suerte, pero es un consuelo pobre para cualquiera cuyo correo electrónico fuera utilizado por ciberdelincuentes.
¿Qué puedes usar en lugar de Dropbox?
Como demuestra la cronología anterior, Dropbox podría hacerlo mucho mejor de lo que lo hace, y de lo que lo ha hecho. Aunque no llega a los niveles de LastPass, ha fallado en más de una ocasión. A menudo, el alcance y la gravedad de los incidentes no fueron comunicados por Dropbox, lo que sugiere una falta de concienciación o transparencia. Y lo más frecuente es que las vulneraciones se debieran a prácticas de seguridad deficientes.
En particular, la falta de cifrado de extremo a extremo de Dropbox es preocupante. Cuando un servicio de almacenamiento en la nube protege tus archivos con cifrado de extremo a extremo, significa que tus datos se cifran en tu dispositivo antes de ir a la nube. Cualquier vulneración posterior de los servidores en la nube no daría lugar a la exposición de ningún dato. Entramos en más detalles sobre esto y más en nuestro artículo sobre la seguridad de Dropbox.
Pensando en estos fallos de los principales proveedores de almacenamiento en la nube, hemos desarrollado Proton Drive, una alternativa segura con cifrado de extremo a extremo que ofrece una seguridad de primera línea y una experiencia de usuario agradable, todo en uno. Aunque quisiéramos ver tus datos (y no queremos, porque nuestro modelo de negocio consiste en proteger tu privacidad), sencillamente no podemos acceder a ellos de ninguna manera.
Esta promesa de privacidad ha sido el núcleo de Proton desde nuestra fundación y, gracias a quienes nos apoyan, hemos podido hacerlo sin necesidad de financiación externa. Así que nuestra única obligación es contigo, nuestra comunidad.
Si te parece bien utilizar una opción de almacenamiento en la nube segura y privada, únete gratis a Proton Drive y descubre cómo sería una web privada.
