En 2012, Dropbox se vio afectada por una intrusión a gran escala. Sin embargo, sólo el 30 de agosto se conocerían los detalles sobre la gravedad de los hechos, y no precisamente porque la propia empresa haya decidido transparentarlos.
El sitio Motherboard ha revelado que hackers se apropiaron en la oportunidad de información de las cuentas de aproximadamente 68 millones de usuarios. Anteriormente, Dropbox ha admitido el ataque, aunque sin informar sobre su magnitud. Según se indica, la cuenta de uno de los empleados de la empresa habría sido intervenida mediante una contraseña extraviada. La propia empresa restó importancia a la situación señalando que “el atacante sólo pudo apropiarse de un documento de un proyecto, que sólo contenía algunas direcciones de correo electrónico”. Lo cierto es que la empresa ha engañado a los 68 millones de usuarios, haciéndoles creer que sus cuentas no habían sido afectadas por la intrusión, según escribe Motherboard.
Después de la intrusión de 2012, Dropbox instauró un sistema de autenticación de factor doble, sumado a distintas medidas de supervisión de actividad sospechosa en el servicio. Paralelamente, instó a todos los usuarios a crear nuevas contraseñas. Más de la mitad de las cuentas intervenidas, aproximadamente 36 millones, estaban protegidas con el algoritmo SHA-1, que hace tiempo dejó de ser considerado seguro.
Motherboard, que recibió una copia de la base de datos, explica que desconocidos sustrajeron en 2012 cuatro archivos, con un total de aproximadamente 5 GB de datos. Estos datos circulan actualmente por el submundo de Internet, donde son comercializados por distintos grupos de delincuentes. La información habría sido confirmada directamente a Motherboard por un empleado no individualizado de Dropbox, quien confirmó la situación, aunque relativizando su gravedad. Hace sólo seis días, Dropbox pidió a sus usuarios cambiar sus contraseñas, aunque sin explicar las razones; “sólo como medida proactiva de seguridad”.
Esta actitud de seguridad “proactiva”, a decir de la propia empresa, contrasta con la realidad. Los usuarios con cuentas registradas antes de mediados de 2012, que no hayan cambiado sus contraseñas, serán recibidos por una notificación invitándoles a hacerlo la próxima vez que se conecten al servicio. El portavoz finalizó señalando que Dropbox “no tiene pruebas de uso ilegítimo del servicio”, como consecuencia de la extracción de contraseñas. Según Motherboard, esto también constituye una imprecisión, debido a que Dropbox ha admitido anteriormente que las direcciones extraídas han sido utilizadas para distribución de spam.
