El 18 de julio Dropbox anunció que había comenzado la investigación de varias reclamaciones de los usuarios de su servicio con motivo de la recepción de spam en direcciones de correo electrónico que habían estado asociadas solamente con cuentas de Dropbox. Dos semanas después parece que el misterio se ha resuelto.
Desde Dropbox han confirmado que “los nombres de usuarios y contraseñas han sido robados recientemente desde otros sitios web y esta información ha sido utilizada para acceder a un pequeño número de cuentas de Dropbox”. Una de estas cuentas a las que se ha accedido pertenecía a un empleado de Dropbox “y contenía un documento de un proyecto con direcciones de email de usuarios”. Lo que creen que ha sido la causa que ha permitido tal spam.
Según Rik Ferguson, Director de Investigación de Seguridad y Comunicaciones de Trend Micro EMEA, hay pocos elementos que realmente relacionen esta noticia y la forma en que ha sido manejada. Un ingeniero de Dropbox estaba utilizando información de clientes en un “documento de un proyecto”, ¿por qué?, ¿no deberían utilizar datos ficticios? Este documento era accesible, al parecer, porque el empleado de Dropbox estaba reutilizando su “contraseña corporativa” en otros servicios web que se habían visto comprometidos o atacados. No se especifica a qué servicios se refieren, pero una vez más, ¿por qué?
En segundo lugar, Dropbox optó por informar a sus clientes de esta brecha de seguridad enviando una notificación por correo electrónico con un enlace para restablecer su contraseña. Esta práctica va en contra de los años de consejos que desde el ámbito de la seguridad hemos dado y en los que advertíamos a los usuarios de que no hicieran click en los enlaces de emails no solicitados, especialmente en aquellos que piden que se visite una página web para acceder a cualquier tipo de credenciales. Para complicar las cosas, según los informes de los usuarios, no hubo notificación del ataque y se requería el restablecimiento de la contraseña en la página principal, lo que habría dado credibilidad a dicho restablecimiento de la contraseña que enviaban. En un mundo ideal, una organización afectada podría enviar una notificación por email, pero en lugar de un enlace para restablecer la contraseña, deberían dirigir a los usuarios a un navegador a la página principal y allí continuar informando.
Por último, Dropbox han declarado que, como resultado de la intrusión, algunas contraseñas de los usuarios han sido restablecidas («En algunos casos, podríamos pedir que usted cambie su contraseña. (Por ejemplo, si se usa con frecuencia o no se ha cambiado en un período largo tiempo)»). La pregunta que surge a partir de esto es: ¿cómo sabe Dropbox si la contraseña dada es de «uso frecuente»? ¿Están almacenando las contraseñas de forma clara? ¿Están almacenando contraseñas mediante un unsalted hash(*) (como ocurrió en LinkedIn)? ¿Están empleando salt común para cada usuario y un algoritmo de hash (un sistemas de funciones hash criptográficas) diseñado más para la velocidad que para la seguridad? Si algo de esto es cierto, entonces su base de datos de contraseñas es vulnerable ante un ataque rainbow table (una tabla precalculada para la restitución de funciones criptográficas de hash que por lo general se utilizan para craquear contraseñas hashes), lo que no es una noticita que inspire demasiada confianza. Idealmente las contraseñas de los usuarios deberían ser almacenadas en un único salt para cada usuario y emplearse un algoritmo que permita un “factor trabajo” para ser introducido en procesos de hashing como Blowsifh. Esto incrementa de forma importante el tiempo necesario para craquear contraseñas individuales y como el factor trabajo es variable, puede ser modificado para continuar con los avances en la potencia de procesamiento. Al aumentar el factor trabajo, el hash se vuelve más lento. El efecto es insignificante en un cálculo individual, pero para un cálculo masivo de rainbow tables se vuelve impracticable.
Es bueno saber que Dropbox está implementando dos factores de autenticación para sus usuarios, entre otras mejoras de seguridad que anuncian, pero esta noticia y la forma en que ha sido manejada todavía dejan muchas preguntas sin respuesta.
Aparte de eso, los usuarios de Dropbox ahora deberían estar alerta ante una o dos campañas de phishing en torno a Dropbox. Este contratiempo va a ser explotado por los criminales. Por otro lado, el incidente debe ser otra lección objetiva de por qué utilizar generadores de contraseñas únicas seguros para múltiples cuentas online es una buena opción. Si no confías en tus proveedores de servicio, debes asumir la responsabilidad de tu propia seguridad.
