Filtradas supuestas contraseñas de Dropbox. Cómo actuar si nos hemos visto afectados

dropbox_paste

No nos hemos recuperado aún de la reciente filtración de miles de fotografías privadas realizadas por la aplicación Snapchat cuando ya tenemos encima de la mesa otro caso de ataque a la privacidad de un buen número de usuarios.

Filtración de credenciales

Justo unas horas después de que Edward Snowden realizara una entrevista en la que aconsejaba dejar de utilizar servicios como Dropbox, Facebook o Google, varios usuarios empezaron a comentar en foros de discusión como Reddit la publicación en Pastebin de los supuestos datos de acceso de Dropbox de cientos de usuarios con sus respectivas contraseñas.

El autor de estas publicaciones permanece en el anonimato y en las publicaciones de credenciales en Pastebin anuncia que dispone de cerca de 7 millones de credenciales robadas y que permiten el acceso a documentos privados como fotos, vídeos y otro tipo de ficheros. Además, pide donaciones en forma de Bitcoins para seguir publicando más credenciales filtradas.

pastebin_drop

Ante esta filtración, responsables de Dropbox han lanzado un comunicado anunciando que su servicio no se ha visto comprometido y que los datos de sus usuarios siguen a salvo. Según la empresa, las credenciales filtradas fueron obtenidas de otros servicios pero no de Dropbox. Una vez obtenidas, los atacantes podrían haber usado estas credenciales para intentar acceder a todo tipo de servicio, incluyendo Dropbox.

Cómo asegurarnos de tener nuestros datos protegidos

Independientemente de si algunas de las credenciales filtradas corresponden a Dropbox o no, este tipo de noticias sirven como recordatorio para asegurarnos de que tenemos nuestros datos a buen recaudo y protegidos por unas credenciales de acceso lo suficientemente seguras. Para ello lo mejor es revisar los siguientes puntos:

  • Contraseñas seguras: no nos cansaremos de repetirlo. La utilización de credenciales seguras es fundamental para proteger la información que, cada vez más, almacenamos en servicios externos. Independientemente de si se trata del acceso a una red social o a un servicio de almacenamiento de ficheros confidenciales, las contraseñas deben ser lo suficientemente robustas para que nadie pueda adivinarla o romperla usando la fuerza bruta.
  • Evitar reutilizar las credenciales: la reutilización de credenciales es uno de los mayores problemas a la hora de proteger nuestra privacidad. Si uno solo de los servicios donde reutilizamos nuestras credenciales falla, comprometeremos la seguridad de la información almacenada en aquellos servicios donde hayamos reutilizado las credenciales.
  • Utilizar el doble factor de autenticación: muchos de los servicios online que manejan información privada (incluyendo Dropbox) incorporan este mecanismo de seguridad. De esta forma, aun cuando nuestra contraseña se haya visto comprometida, no se podrá acceder a nuestra cuenta gracias a que es necesario generar un código de un solo uso desde otro dispositivo, que suele ser nuestro smartphone.
  • Cifrado de datos: por mucha confianza que depositemos en servicios como Dropbox, estos no son 100% infalibles, por lo que siempre es una buena idea almacenar cifrada nuestra información más confidencial. Esto puede evitar que nuestra información pueda ser espiada por ojos ajenos en caso de filtraciones o robo de datos.
Conclusión

Aunque aún es pronto para comprobar si realmente el atacante ha conseguido los siete millones de contraseñas que dice tener y si estas siguen activas, debemos andar con pies de plomo y no menospreciar este tipo de filtraciones, por mucho que se niegue que no afectan a servicios ampliamente usados como Dropbox, Facebook o Google.

Nunca es tarde para comprobar que tenemos activadas todas las medidas de seguridad posibles para proteger nuestra información.

Josep Albors

Crédito de la imagen: ilamont.com / Foter / CC BY

Poodle: vulnerabilidad en SSL 3.0. Cómo nos afecta y posibles soluciones