Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Dropbox niega hackeo, pero anima al uso de 2FA

Dropbox refutó los reportes de que un hacker había obtenido 6.9 millones de nombres de usuarios y contraseñas del servicio de almacenamiento en nube.

Dropbox ha echado agua fría sobre los informes de los medios que decían que el servicio de almacenamiento en la nube había sido hackeado, indicando en lugar de ello que se trataba de otro servicio el que había sido víctima de ello.

Esos informes se produjeron después de que un hacker anónimo puso varios mensajes en Pastebin.com y pidió donaciones de Bitcoin con un enlace a una cuenta. El hacker también publicó cientos de cuentas de correo electrónico y contraseñas, muchas de los cuales eran débiles, con palabras sencillas o códigos numéricos de seis caracteres.

“Conforme más BTC sean donados, más mensajes pastebin aparecerán”, se leía en un post de Pastebin, aunque solo dos transacciones para un total de 0.0002 Bitcoins habían ocurrido hasta el cierre de esta edición.

En un hilo de Reddit sobre el supuesto hackeo de Dropbox, varios miembros Reddit afirmaron que algunas de las contraseñas aún funcionaban, pero el lunes pasado Dropbox rotundamente negó que su servicio haya sido hackeado. En su lugar, la compañía anunció que las credenciales robadas fueron levantadas de un servicio sin nombre diferente.

"Artículos de noticias recientes que afirman que Dropbox fue hackeado no son ciertos. Su material está seguro", escribió de Anton Mityagin de Dropbox en un blog. "Los nombres de usuario y contraseñas a los cuales se hace referencia en estos artículos fueron robados de servicios no relacionados, no de Dropbox. Los atacantes utilizaron luego estas credenciales robadas para tratar de iniciar sesión en sitios a través de la red, incluyendo Dropbox. Contamos con medidas instaladas para detectar la actividad sospechosa de inicio de sesión y automáticamente restablecemos contraseñas cuando eso sucede".

Mityagin también declaró que Dropbox verificó "una lista posterior de nombres de usuario y contraseñas" que habían sido publicados online y confirmó que las credenciales no están asociadas con cuentas de Dropbox.

A pesar de refutar el hackeo, Mityagin animó a los clientes de Dropbox a habilitar la autenticación de dos factores (2FA) y a evitar el uso de las mismas contraseñas para múltiples servicios.

Dropbox ha ofrecido servicios 2FA desde 2012, cuando la compañía lanzó la función de seguridad después de un episodio similar a principios de ese año, cuando los nombres de usuario y contraseñas robadas de otros servicios fueron usadas para acceder a un pequeño número de cuentas de Dropbox. Una de esas cuentas pertenecía a un empleado de Dropbox, que los hackers usaron para enviar spam a las direcciones de correo electrónico de los usuarios contenidas en un documento de un proyecto de la empresa.

La falta de protección de autenticación de dos factores se ha citado como un importante punto débil tras incidentes como el reciente hackeo de Apple iCloud, donde los hackers fueron capaces de descifrar las contraseñas de varias celebridades femeninas y exponer fotos personales y videos almacenados en el servicio en la nube. Tras el incidente, Apple amplió los servicios 2FA para todos los datos almacenados en iCloud; previamente, el servicio no cubría áreas tales como el acceso de los usuarios a Photo Streams, la restauración de una copia de seguridad de iCloud a un nuevo dispositivo, y a la realización de compras por iTunes, App Store y iBookstore en un nuevo dispositivo.

Joe Siegrist, CEO del proveedor de gestión de contraseñas LastPass, dijo que los usuarios, tanto en las empresas y como en los espacios de consumidores, deben habilitar 2FA para todas las cuentas en línea, pero señaló que la adopción se ha quedado rezagada en el espacio de los consumidores.

"Estamos viendo una mayor penetración de 2FA en el ámbito de la empresa, pero no vemos que eso ocurra en el espacio de los consumidores todavía", dijo Siegrist.

Además de permitir 2FA, Siegrist dijo que los usuarios deben dejar de usar la misma contraseña en varios servicios y sitios web, una práctica común que pone a los consumidores y a los sitios corporativos en riesgo.

"Si usted está utilizando la misma contraseña para todo, solo se necesita que un sitio esté comprometido y luego todo está integrado," dijo Siegrist. "Usted ve anuncios de empresas todo el tiempo, después de una brecha, diciéndole a la gente que cambie sus contraseñas para un sitio. Pero lo que realmente deberían estar diciéndole a la gente es que cambien sus contraseñas para todos los sitios diferentes en los que utiliza esa contraseña particular”.

Este artículo se actualizó por última vez en octubre 2014

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close