Dropbox ha sido hackeado no una, no dos, sino TRES veces
Tabla de Contenidos
Dropbox ha sido hackeado no una, no dos, sino TRES veces. Y aun así quieren que confíes en ellos con tus archivos.
Mira, lo entiendo. Dropbox es conveniente. Está en todos lados. Es fácil. Pero aquí hay algo que nadie te está diciendo: Dropbox ha sido vulnerado tres veces separadas, y cada vez ha sido por la misma mierda estúpida - credenciales de empleados comprometidas.
Déjame guiarte a través de esta línea de tiempo de desastre, porque es peligrosamente educativa.
Pero primero, déjame ser claro: Gano dinero con Sync.com, Tresorit, Boxcryptor (enlaces de afiliado). Gano $0 con Google Drive, Dropbox, OneDrive, iCloud, MEGA (sin programas de afiliados o los rechacé). Clasifico por valor real y costo de privacidad, no por comisión.
2012: El Mega-Breach de 68 Millones de Usuarios (que ocultaron por 4 años)
En 2012, Dropbox fue hackeado. Pero no le contaron a nadie la historia completa hasta 2016, cuatro años después, cuando 68 millones de nombres de usuario y contraseñas aparecieron en línea.
Cómo pasó: Un empleado reutilizó su contraseña de LinkedIn (que había sido vulnerado) para acceder a su cuenta de Dropbox. Esa cuenta tenía un documento conteniendo correos electrónicos y contraseñas de usuarios de Dropbox. Clásico fuckup de reutilización de contraseña.
Qué fue expuesto:
- 68 millones de direcciones de correo electrónico
- 68 millones de contraseñas (la mayoría estaban hasheadas y saladas, pero aun así)
Respuesta de Dropbox: “Oops, no nos dimos cuenta de lo malo que era hasta que encontramos el volcado de datos cuatro años después.”
Sí, eso inspira confianza. ¡NO!
2022: El Ataque de Phishing en GitHub
Avance rápido hasta noviembre de 2022. Hackers hicieron phishing a un desarrollador de Dropbox y obtuvieron acceso a su cuenta de GitHub.
Cómo pasó: Ingeniería social. Un desarrollador fue víctima de phishing, entregó sus credenciales, y boom, los hackers accedieron a 130 repositorios de código privados en GitHub.
Qué fue expuesto:
- Código fuente interno
- Claves API
- Credenciales de desarrollador
- Datos de clientes potenciales (Dropbox fue vago sobre esto)
El patrón: Una vez más, son credenciales de empleado comprometidas. No algún exploit sofisticado de zero-day. Solo buen viejo phishing.
2024: Dropbox Sign es completamente tomado
Abril de 2024. Este es el peor porque afectó a cada usuario individual de Dropbox Sign (anteriormente HelloSign, su producto de firma electrónica).
Según la propia divulgación de Dropbox, hackers obtuvieron acceso a una “cuenta de servicio” con privilegios elevados y accedieron a toda la base de datos de clientes.
Qué fue expuesto:
- Correos electrónicos y nombres de usuario de todos los usuarios de Dropbox Sign
- Números de teléfono
- Contraseñas hasheadas
- Claves API
- Tokens OAuth
- Datos de autenticación multifactor
- Incluso personas que solo recibieron un documento para firmar tuvieron sus nombres y correos electrónicos expuestos
Cómo pasó: Hackers comprometieron una herramienta de configuración de sistema automatizada y una cuenta de servicio backend. Esa cuenta tenía privilegios elevados, así que pudieron acceder a todo.
Respuesta de Dropbox: Resetear contraseñas de todos, desconectar a todos, rotar claves API. Sabes, la mierda que haces después de que ya te han tomado.
El Patrón: Siempre son Credenciales de Empleados
¿Notas el tema aquí?
- 2012: Reutilización de contraseña de empleado
- 2022: Phishing de empleado
- 2024: Cuenta de servicio comprometida (todavía un problema de credenciales)
Ahora, para ser justos con Dropbox: Las credenciales de empleados son la cosa más absolutamente difícil de asegurar en ciberseguridad.
Según el Reporte de Investigaciones de Brechas de Datos de Verizon 2024, el 68% de las brechas involucran un elemento humano, phishing, credenciales robadas, ingeniería social. Incluso Google y Microsoft son víctimas de phishing. No es un problema de Dropbox, es un problema de todos.
¿Por qué sigo enojado?
Porque cuando estás guardando 700 millones de archivos de usuarios y has sido vulnerado tres veces por la misma razón, necesitas arquitecturar tu sistema de manera que una sola credencial comprometida no pueda acceder a toda la base de datos de clientes.
La brecha de 2024 es el ejemplo perfecto: Una cuenta de servicio comprometida tenía “privilegios elevados” para acceder a toda la base de datos de clientes de Dropbox Sign. ¿Por qué una herramienta automatizada necesita acceso a todo?
El problema real no es que los empleados sean víctimas de phishing. El problema real es que cuando lo son, el radio de explosión es masivo.
Compañías con encriptación de conocimiento cero resuelven esto: Incluso si hackers acceden a los servidores, no pueden leer tus archivos porque no tienen tus claves de encriptación. Dropbox no ofrece eso para usuarios regulares.
TL;DR: Sí, el robo de credenciales es difícil de prevenir. Pero es exactamente por eso que deberías arquitecturar tu sistema asumiendo que va a pasar. Dropbox no lo ha hecho.
Por Qué Esto Importa Para Ti
Si estás almacenando archivos sensibles en Dropbox, necesitas entender algo: Dropbox no ofrece encriptación de conocimiento cero. Eso significa que Dropbox (y cualquiera que los hackee) puede teóricamente acceder a tus archivos.
Dropbox usa encriptación AES-256, pero ellos mantienen las claves de encriptación. Así que cuando hackers entran en sus sistemas, tus archivos están ahí sentados, listos para ser accedidos.
Compara eso con servicios como Sync.com o Tresorit, que ofrecen encriptación de conocimiento cero, lo que significa que incluso si son hackeados, tus archivos están encriptados con claves que solo tú tienes.
Por qué Sync.com y Tresorit son mejores.
Sync.com está basado en Canadá, que tiene leyes de privacidad más fuertes que EE.UU. (sin bullshit del Patriot Act). Ofrecen encriptación de conocimiento cero por defecto en todos los planes, lo que significa que literalmente no pueden acceder a tus archivos incluso si quisieran. Cuando un empleado es víctima de phishing en Sync.com, tus archivos permanecen encriptados. También ofrecen 5GB gratis para probarlo.
Tresorit está basado en Suiza (aún mejores leyes de privacidad) y usa encriptación de extremo a extremo para todo. Son caros como el infierno, comenzando alrededor de $10.42/mes, pero si estás almacenando cosas realmente sensibles (documentos legales, registros médicos, datos financieros), vale la pena. Jurisdicción suiza significa que no están sujetos a leyes de vigilancia de EE.UU.
Ambas alternativas a Dropbox han existido por años sin una brecha mayor. No porque sus empleados sean inhackeables, sino porque su arquitectura asume que los empleados serán comprometidos y construye alrededor de eso.
La arquitectura de Dropbox asume que los empleados no serán comprometidos. Han sido probados equivocados tres veces.
Qué Está Haciendo Dropbox Al Respecto
Después de comprar Boxcryptor en 2022, Dropbox anunció que integrarían encriptación privada… pero solo para usuarios Business primero. ¿Usuarios personales? 3 años después, seguimos esperando.
Así que básicamente, si estás pagando por Dropbox Business, podrías obtener mejor seguridad eventualmente. Si eres un usuario regular, sigues siendo vulnerable.
Mi Opinión: Tres Strikes, Estás Fuera
Mira, no estoy diciendo que Dropbox sea malvado. Estoy diciendo que han probado, tres veces separadas, que no pueden mantener seguras las credenciales de empleados. Y cuando todo tu modelo de seguridad depende de mantener esas credenciales seguras, eso es un problemático problema.
Opciones si quieres seguridad real:
- Sync.com - Encriptación de conocimiento cero, basado en Canadá (mejores leyes de privacidad que EE.UU.)
- Tresorit - Basado en Suiza, conocimiento cero, caro pero sólido
- ProtonDrive - De la gente de ProtonMail, conocimiento cero, aún creciendo
- Cryptomator - Encripta tus archivos localmente antes de subirlos a Dropbox (si tienes que quedarte con ellos)
O quédate usando Dropbox. Solo sabe que estás confiando en una compañía que ha sido vulnerada tres veces, siempre por la misma razón, y aún no ofrece encriptación de conocimiento cero para usuarios regulares.
Tus archivos, tu riesgo.
NO confíes en los sitios de reseñas. Las comisiones de afiliados dictan sus clasificaciones. Este también es un sitio de afiliados, pero soy honesto sobre lo que gano y clasifico por calidad en lugar de por pago. Incluso si eso significa que me paguen $0. Lee sobre mi enfoque y por qué dejé de mentir. Aquí están los datos en bruto para que puedas verificar todo.