El pasado 30 de agosto de 2016 Dropbox ha empezado a tirar del hilo de algo que sucedió en 2012. Por lo visto en aquel momento se avisó de que hubo un problema de seguridad pero no llegó a concretar mucho más. Cuatro años después se ha descubierto el «pastel», porque por lo visto lo que sucedió fue un robo importante de credenciales de usuarios (nombre de usuario y contraseña). Y no hablamos de cualquier cifra, porque se estima que un total de 68 millones de cuentas pueden estar afectadas. Son cuentas que se dieron de alta ese año o antes de ese año.
Lo que consiguieron los hackers en aquel momento fue una lista de nombres de usuarios y claves. Hay algo que da tranquilidad, y es que las claves en ese listado estaban encriptadas, esto quiere decir que no se pueden leer directamente y que necesitan descifrarlas para saber lo que pone ahí. Pero la cuestión es que la tecnología va evolucionando, y lo que en el año 2012 era seguro puede que en el 2016 ya no lo sea. Dropbox ha reseteado passwords de todas las cuentas potencialmente afectadas porque ha detectado actividad sospechosa en alguna cuenta. Las personas que consiguieron las contraseñas están empezando a ser capaces de descrifrarlas.
Y es cierto que, lo que se conoce como «el usuario», no es muy precavido y es fácil que acabe reutilizando sus contraseñas o haciendo claves tipo «123456». No obstante esto no es justificación para echarle la culpa al usuario descuidado. El servicio en cuestión debería preocuparse de que el usuario no haga ese tipo de cosas. Ahora resulta que los usuarios poco precavidos que están en ese fichero son los primeros que podrían sufrir las consecuencias.
A mi particularmente me parece algo especialmente grave, porque en Dropbox se guarda mucha información. No estamos hablando de una aplicación para hacer la lista de la compra, hablamos en algunos casos de todos los documentos que uno puede manejar. En primer lugar Dropbox tenía que haber adoptado medidas más claras en 2012 con los usuarios que pudieron estar afectados, y no esperarse 4 años hasta que las vergüenzas empiezan a aparecer. En segundo lugar no está de más recordar a todo el mundo que debe tener una contraseña distinta para cada sitio web. Esto no es algo imposible, de hecho es muy fácil. Precisamente en 2012 escribí un artículo sobre cómo construirse contraseñas fáciles de recordar, distintas para cada sitio web y difíciles de descifrar.
Si alguien quiere comprobar si su cuenta puede estar afectada puede hacerlo a través de este enlace. Que tu cuenta aparezca en la web no quiere decir que te han entrado en tu dropbox, sólo que tus datos de email y contraseña (cifrada) los robaron.
Fuentes: