Dropbox es una de esas plataformas de almacenamiento en la nube donde podemos guardar copias de seguridad o compartir archivos con terceros. Es un servicio muy popular y útil, pero en esta ocasión hay que hablar de un problema que han tenido. Concretamente, un robo de datos de los clientes. Te vamos a contar en qué consiste y también te daremos algunos consejos para que puedas evitar problemas de este tipo, sin importar qué plataformas utilices en tu día a día.
La propia empresa ha lanzado un aviso donde indica que un grupo de cibercriminales ha logrado romper la seguridad de los sistemas de Dropbox Sign eSignature, lo que permite tener acceso a tokens de autenticación, claves de factor múltiple e información de los clientes. Lógicamente, esto es un problema importante y rápidamente iniciaron una investigación.
Problema para Dropbox
Este problema afecta a Dropbox Sign, que es una plataforma de firma electrónica para que los usuarios puedan firmar documentos. Es muy útil para recibir firmas a través de Internet. El fallo permite a los atacantes acceder a una herramienta de configuración del sistema automatizado de Dropbox Sign. Pero, ¿qué puede hacer un atacante si logra acceder y aprovechar este fallo? Esta herramienta a la que puede entrar, permite que un posible atacante ejecute aplicaciones y servicios automatizados con privilegios. Básicamente, va a poder acceder a los datos de ese cliente que puedan estar almacenados.
Estos datos, según han informado desde Dropbox tras una investigación, incluyen información del cliente, correos electrónicos, nombres de usuario, números de teléfono o incluso contraseñas hasheadas, tokens OAuth y autenticación de factor múltiple. Todo esto pone en riesgo la privacidad y seguridad de las cuentas, lógicamente. Según Dropbox, no hay evidencia de que hayan podido acceder a los archivos alojados, así como otros servicios de Dropbox. Lo que hicieron fue restablecer las contraseñas de los usuarios y cerrar sesión en Dropbox Sign. Además, restringieron el uso de las claves API hasta que los clientes las cambiaran.
Este grave problema de seguridad ha sido uno de los más graves de Dropbox desde que hace más de una década, también sufrió una brecha de seguridad y todos los emails de los usuarios se vieron expuestos, junto con las contraseñas hasheadas que usaban para iniciar sesión en la plataforma de almacenamiento en la nube. Por este tipo de hackeos, es fundamental usar una contraseña diferente por cada servicio, de esta forma, si un servicio como Dropbox se ve vulnerado y se filtra la contraseña hasheada, aunque la crackeen no podrán acceder a otros servicios. Además, hay que tener en cuenta que tanto Dropbox como decenas de servicios en Internet disponen de autenticación en dos factores, lo que es una seguridad adicional bastante importante. Puedes ver los pasos para habilitar 2FA en Dropbox.
Qué hacer como usuario
Pero, ¿qué puedes hacer como usuario? Dropbox recomienda que aquellos que utilicen factor múltiple con Dropbox Sign, eliminen lo antes posible la configuración de sus aplicaciones y lo vuelvan a configurar con otra clave multifactor. Están enviando correos a los clientes afectados por este problema, por lo que deberías recibir un e-mail en caso de que te afecte.
Además, si eres cliente de Dropbox Sign, deberías estar atento a posibles mensajes Phishing que puedan llegarte. Los piratas informáticos, podrían llegar a usar esos datos robados para lanzar campañas y comprometer tu seguridad. No hagas clic en ningún enlace, no caigas en la trampa de poner tus datos o contraseñas. El sentido común, en este caso, es fundamental. Está claro que este hackeo supone un grave problema para los usuarios, y es que se han filtrado muchos datos personales que muy pronto estarán en la dark web, por lo que debemos extremar las precauciones.
En definitiva, un nuevo problema de filtración de datos ha ocurrido, esta vez en Dropbox. Es importante siempre mantener la privacidad en la red y para ello es fundamental no cometer errores. Evita dar más datos de los necesarios, cuidado al instalar aplicaciones y asegúrate siempre de tener todo muy bien actualizado y protegido.