Dropbox: cuentas hackeadas y recomendaciones

dropboxSi no recibiste ninguna notificación de los servicios de Dropbox en tu casilla de correos asociada a la cuenta, probablemente no tengas problemas.

Varios usuarios de esta plataforma recibieron hace algunos días una notificación de solicitud de cambio de contraseña de acceso, y los instaban también a habilitar la autenticación de doble factor en su plataforma.

Si cometiste la mala práctica de no cambiar tu contraseña desde mediados del 2012, sería recomendable que lo hagas, y utilices una contraseña fuerte, de ser posible, gestionada por un password manager.

Te recomendamos leer sobre contraseñas seguras en Contraseña segura: Cómo? Día mundial de la contraseña y por supuesto, cómo utilizar un gestor de contraseñas como keepass, tienes más información acá:

Dropbox y el incidente del 2012

En Julio del 2012 varios usuarios de Dropbox reportaron a la empresa que estaban recibiendo spam en sus casillas de correos asociadas únicamente a dropbox.

A raíz de esto, Dropbox, el 31 de julio del mismo año, publicó una entrada en su blog en la que informaba del hecho, informando que un pequeño grupo de contraseñas fueron comprometidas desde el sitio web de Dropbox, y que ellos se contactaron con los usuarios para indicarledropboxs los pasos a seguir en cuanto a cambios de contraseñas y autenticación de doble factor (2FA).

Decían que una password fue utilizada para acceder a un documento de un empleado en el que se encontraban una lista de correos electrónicos con direcciones de email de usuarios de dropbox.

Las consecuencias

A raíz del incidente, Dropbox habilitó medidas adicionales de seguridad y las puso a disposición de los usuarios. Entre ellas se pueden ver:

  • Autenticación de doble factor, yna manera de requerir dos pruebas de identidad, tales como una contraseña y un código temporal de autenticación enviado al teléfono a la hora de loguearse.
  • Un mecanismo nuevo y automatizado pra ayuadr a identificar actividad sospechosa.
  • Una nueva página en la que los usuarios podemos ver todos los logins en nuestras cuentas de Dropbox y otros parámetros de seguridad.
  • En algunos casos, también informó sobre un cambio de contraseña a usuarios que estaban utilizando la misma clave durante mucho tiempo.
  • Se actualizó la forma de calcular hashes utilizando herramientas opensource como bcrypt, una función de hashing de password basada en el cifrador Blowfish.

Datos adicionales

El “pequeño número” de cuentas hackeadas fue desmentido por varios sitios en Internet, que indicaban que la cifra ascendió a cerca de 60 millones… lo cual no es poco y aumenta la gravedad del hecho.

Pueden leerse notas relacionadas en:

  • http://thehill.com/policy/cybersecurity/293919-dropbox-hack-leaks-2012-info-from-60m-accounts
  • http://www.express.co.uk/life-style/science-technology/705686/dropbox-hacked-passwords-email-addresses-user-ids-stolen-confirmed

Recomendaciones

Ya hemos hablado bastante sobre las buenas prácticas a la hora de crear contraseñas seguras en este blog, y sobre cómo utilizar gestores de contraseñas para mejorar la administración de nuestras claves seguras.

La principal recomendación para nuestros seguidores es que cambien las contraseñas de sus cuentas, no solo la de Dropbox, sino de todas, sus correos electrónicos, sus logins en redes sociales, etc.

NUNCA utilicen la misma contraseña en dos sitios diferentes, y por supuesto, el cambio de contraseña frecuente DEBE ser llevado a cabo con un gestor de claves, no mediante variaciones de una contraseña particular. Está demostrado que esta técnica utilizada por muchos usuarios termina siendo contraproducente.

Espero esta información les sirva! Si pueden compartir se agradece, es fundamental concientizar a los usuarios de Internet de que sus contraseñas son un eslabón muy débil en la cadena de la seguridad.

Hasta la próxima!


Actualización 31/agosto/2016

Dropbox finalmente reconoció que aproximadamente 68 millones de cuentas de usuario fueron hackeadas en el incidente mencionado arriba.Dropbox_Logo_02.svg

Los archivos con la lista completa de las cuentas comprometidas puede descargarse desde aquí.

Como ocurrió anteriormente con Cuentas hackeadas? El gran robo de contraseñas de gmail, y los millones de cuentas comprometidas de Linkedin, Troy Hunt agregó a su sitio de verificación de cuentas comprometidas la base de datos de Dropbox, de modo que podemos verificar si nuestra cuenta ha sido comprometida accediendo a https://haveibeenpwned.com. (La veracidad del sitio de Hunt es comprobada y reconocida).

No obstante, desde JuncoTIC recomendamos cambiar las contraseñas y utilizar gestores seguros de claves complejas y establecerlo como política de seguridad personal, es una forma de reducir los efectos de este tipo de incidentes.