¿O deberíamos llamarlo “hackeo” entre comillas? Después de todo, el problema al que recientemente ha debido enfrentarse el popular servicio de almancenamiento en la nube no fue provocado por una falla masiva en sus sistemas de seguridad, o por un ataque directo coordinado.
Sin embargo, la cuenta comprometida de un único empleado
habría sido el disparador de la reacción que llevó a varias semanas de
spam en direcciones de correo usadas exclusivamente para Dropbox,
sumándose al ingreso no autorizado a cierta cantidad de cuentas de usuario.
De acuerdo a la publicación oficial en el blog de Dropbox, los problemas comenzaron “hace algunas semanas”. Los reportes de spam provenientes de los usuarios se incrementaron llamativamente, y la reacción de Dropbox fue traer un equipo externo de seguridad para evaluar la situación. El primer inconveniente detectado estuvo asociado al robo de nombres de usuario y contraseñas en sitios ajenos a Dropbox. Lamentablemente, algunos usuarios no han dejado de lado la mala costumbre de usar el mismo usuario y la misma contraseña para todos los servicios en línea, lo cual habilitó el acceso a una cantidad no especificada (“pequeña”, según Dropbox) de cuentas. Los usuarios afectados recibieron instrucciones adicionales para mejorar la seguridad en sus cuentas.
Sin embargo, el origen del spam fue un poco más sutil. Entre las cuentas comprometidas estaba una perteneciente a un empleado de Dropbox.
Dentro de su cuenta había un documento asociado a un proyecto, con una
buena cantidad de cuentas de correo electrónico, usadas por los usuarios
de forma exclusiva en Dropbox como direcciones de registro. El acceso no autorizado a este documento sirvió como base para el bombardeo de spam a los usuarios. Aparentemente, el spam apuntaba a personas en el territorio europeo, una idea respaldada por el detalle de que el spam estaba escrito en inglés, alemán y holandés, promocionando diferentes sitios de apuestas en línea.
En resumen, Dropbox ha reconocido la brecha en la seguridad, pero el servicio en la nube no es el único que se encuentra en falta aquí. Para reforzar la protección de sus usuarios, Dropbox ha comenzado a implementar algunos mecanismos similares a los que ya podemos encontrar en los servicios de Google, como la autentificación de dos pasos (contraseña clásica más código enviado al móvil), y el registro de actividad de cuentas, con el objetivo de detectar cada login e identificar cualquier indicio de actividad sospechosa.
Aún así, Dropbox sólo puede ofrecer la mitad de la solución.
Si un usuario sigue usando el mismo usuario y la misma contraseña para
todos sus servicios, no hay sistema reforzado de autentificación que
sirva. Por lo tanto, la recomendación número uno para cualquier usuario
de Dropbox hoy es generar nuevas contraseñas, lo más robustas y complejas posibles. En su blog oficial, Dropbox recomienda a 1Password, pero también puede usarse KeePass.
Publicado por Leonel Kozel
0 Comentarios:
Publicar un comentario