El robo de contraseñas de Dropbox ha sido confirmado por la propia compañía, pero eso no es lo peor.
La semana pasada Dropbox envió un correo a sus usuarios en el que nos advertía que teníamos que cambiar la contraseña si no lo habíamos hecho desde octubre de 2012; el mensaje no decía demasiado, pero la propia compañía decía que sólo era una medida preventiva.
Esto es cada vez más normal en las compañías que se especializan en Internet; como ya hemos explicado en Omicrono, muchas de estas empresas monitorizan la Deep Web en busca de filtraciones de cuentas de usuario y comparan los correos electrónicos con los de sus propios usuarios. Como la mayoría de las personas usan una y otra vez la misma contraseña, este aviso tenía la intención de que cambiásemos la contraseña de Dropbox y evitásemos usarla en otros servicios.
Por qué has recibido un correo de Dropbox para que cambies la contraseña
Así que la ironía ha sido mayúscula cuando en las últimas horas se ha descubierto el verdadero motivo por el que Dropbox envió ese correo a los usuarios. Todo empezó en 2012, cuando unos atacantes consiguieron entrar en el sistema de un empleado de Dropbox.
Inicialmente la compañía aseguró que los atacantes sólo obtuvieron una lista de correos electrónicos de usuarios, que estaban en un archivo que formaba parte de un proyecto interno. Así lo anunció la compañía en el 2012, y por eso nadie prestó mucha atención, porque conseguir una dirección de correo es facilísimo.
Sin embargo, en las últimas horas se ha descubierto que en realidad en ese ataque del 2012 los hackers también consiguieron hacerse con una lista de contraseñas asociadas con la lista de correos electrónicos; en total, los atacantes consiguieron los datos de acceso de 60 millones de usuarios de Dropbox.
No todo son malas noticias, ojo. Esas contraseñas no estaban almacenadas en texto plano, sino que estaban cifradas; en el momento del ataque Dropbox estaba en medio de una migración, y por eso algunas contraseñas están cifradas con el algoritmo SHA-1 (el estándar) mientras que otras estaban cifradas con bcrypt y por lo tanto es más difícil “crackearlas”. Además, las contraseñas tenían salt, es decir, que se les había introducido datos aleatorios para dificultad el descifrado (una práctica que debería ser más común de lo que es).
Cómo ocurrió el robo de contraseñas de Dropbox
Todo indica que, como las contraseñas estaban cifradas, Dropbox decidió no informar a los usuarios en su momento y sólo hizo público el robo de las direcciones de correo. Sin embargo, en la actualidad no es tan difícil crackear contraseñas, y por eso Dropbox envió el correo para asegurarse de que cambiábamos la contraseña.
¿Queréis saber lo más irónico de todo? Que el ataque de 2012 se produjo porque un empleado de Dropbox usaba la misma contraseña que usaba en LinkedIn para acceder a los sistemas de la compañía. Y como LinkedIn fue hackeada y las contraseñas publicadas, para los atacantes fue relativamente probar con la misma contraseña.
Dropbox ha confirmado que en la actualidad evita este tipo de prácticas y da a los empleados una licencia del gestor de contraseñas 1Password para crear contraseñas fuertes y únicas para cada servicio y para acceder a los sistemas corporativos. Sin embargo, la falta de transparencia es un gran error que a estas alturas no debería volver a repetirse.
La entrada En Dropbox reutilizaban las contraseñas, y por eso la tuya ha terminado robada aparece primero en Omicrono.