Noticias

Dropbox implementa doble autentificación tras la brecha de seguridad

Robert Westervelt, Director de Noticias

Dropbox esta implementado un sistema de doble autentificación y creando una página web en la que los usuarios puedan registrar sus accesos tras los ataques producidos mediante contraseñas robadas de varias cuentas, incluyendo una cuenta usada por los empleados del servicio de almacenamiento web.

No creo que la autentificación ni los demás factores puedan ser la clave para detener la mayor parte de los ataques. Lo que me preocupa son los ataques a los datos presentes en la nube.

Pete Lindstrom,
director de investigación, Spire Security

La firma Dropbox, con sede en San Francisco dio a conocer el martes que su servicio de almacenamiento había sido atacado por hackers que habían robado contraseñas de acceso de otros sitios web. La empresa no ha detallado cuantas cuentas se han visto afectadas. La cuenta del empleado de Dropbox que se ha visto afectada contenía un documento donde figuraban las cuentas de correo de usuarios del sitio, causa probable de la campaña de Spam que venían sufriendo los usuarios de Dropbox.

"Lo sentimos. Hemos tomado medidas adicionales para estar seguros de que no pase de nuevo” se disculpa la empresa en una nota publicada en su blog.

No se ha podido contactar con Dropbox para pedir su valoración durante la mañana del miércoles. No se identifica la cantidad exacta de contraseñas afectadas pero las noticias sobre el fallo de seguridad de Dropbox han venido acompañados de una brecha similar en la red social Linkedin, con sede en Palo Alto, California. Un archivo con más de 6,4 millones de contraseñas fue publicado en un foro de hacking ruso. Linkedin no se ha pronunciado más allá de admitir el problema. La brecha siguió afectando a otros servicios como el web de citas eHarmony, Google y Facebook. En algunos casos los servicios han reseteado las cuentas o advertido a sus usuarios sobre la necesidad de usar contraseñas seguras y previendo sobre el riesgo usar la misma contraseña en diversas cuentas.

En cuanto a Dropbox, afirman que tenían pensado implementar la doble autentificación desde hacia unas semanas, dándole a sus clientes la posibilidad de mejorar la seguridad al solicitar dos pruebas de identidad. El servicio es similar al que ofrece Google, que envía un código temporal al teléfono móvil del usuario para verificar la autenticidad del acceso.

Dar a los usuarios la posibilidad de usar autentificación doble es un paso positivo, aunque serán necesarias nuevas tecnologías para evitar otro tipo de ataques, comenta Pete Lindstrom, director de investigaciones de Spire Security.

“No creo que la autentificación ni los demás factores puedan ser la clave para detener la mayor parte de los ataques. Lo que me preocupa son los ataques a los datos presentes en la nube,” afirma Lindstrom. “El problema tiene un riesgo colateral con este tipo de servicios: ¿Cuánto riesgo puedes heredar de tu vecino?”

Actualmente se dispone de una nueva página web donde poder reparar las cuentas afectadas. Además la empresa afirma que se ha instalado un mecanismo automatizado que identifique posibles actividades sospechosas. En caso de producirse, la empresa pide al usuario que cambie su contraseña o pide más información para proceder a la verificación.

“Al mismo tiempo recomendamos que la gente mejore su seguridad online creando una contraseña única para cada web que utilice” recomiendan en Dropbox, urgiendo a los clientes a considerar el uso de un gestor de contraseñas que gestione diversas contraseñas robustas entre diferentes sitios web.

Dropbox, seguridad en almacenamiento remoto

Dropbox usa conexiones encriptadas SSL y proclama que el sitio está totalmente protegido, pero los expertos opinan que una contraseña valida puede ser capaz de saltar las medidas de seguridad más potentes y robustas. Las carpetas públicas no son indexables o visibles, indican en Dropbox, que usa el Servicio de almacenamiento de Amazon S3.

Lindstrom comenta que las empresas deberían usar protección frente fuga de datos (DLP) a la hora de detectar el uso indebido de estos servicios y controlar los bienes más preciados de cualquier empresa. “Está claro que las personas están usando estos servicios, pero también están poniendo en alto riesgo su almacenamiento de datos y sus datos compartidos” concluye Lindstrom.

Los expertos en seguridad han recomendado con insistencia a las empresas que controlen, e incluso denieguen a sus empleados el uso de servicios de almacenamiento remoto. Mantener esas políticas restrictivas es más difícil debido al uso de smartphones, que ofrecen acceso directo a Dropbox y servicios relacionados.

El uso de servicios de almacenamiento remoto puede incrementar el riesgo de perder datos sensibles de la empresa, según los expertos. Los usuarios deben permitir a aplicaciones de terceros que hojeen los datos almacenados.


Unirse a la conversación Comenta

Compartir
Comentas

    Resultados

    Contribuye a la conversacion

    Todos los campos son obligatorios. Los comentarios aparecerán en la parte inferior del artículo