Los fallos de seguridad de Dropbox que desconoces

Publicado el 09 marzo 2021 por Dataprius Sl @dataprius

Dropbox es uno de los servicios de almacenamiento de archivos multiplataforma en la nube más populares y más empleados por particulares y pequeñas empresas. Sin embargo, desde que se lanzara en 2007 ha saltado a los medios de comunicación en más de una ocasión por serios fallos de seguridad. Vulnerabilidades, cierto, a las que la compañía ha ido respondiendo.

Sin embargo, no hay que olvidar que, en un momento en el que la protección de datos cobra cada vez más importancia, cualquier noticia sobre errores en los niveles de protección y seguridad, por mínimos que sean, crean una enorme alarma. Y Dropbox, como otros servicios en la nube de similares características, no ha sido ajena a ello. Es más, hay puntos débiles de los que cualquier usuario debe ser consciente.

El problema de la sincronización

Dropbox es una plataforma de sincronización en la nube,que permite que los datos estén disponibles y actualizados en todos los dispositivos del usuario de manera automática. Es útil, pero también entraña algunos riesgos y puede ser origen de fallos de seguridad serios que no ocurren en sistemas de almacenamiento como Dataprius, que funcionan du una forma diferente.

Cuando mencionamos servicios con sincronización, como es el caso de Dropbox, el problema es que reproducen en la nube todo aquello que les ocurre a los ficheros, todo lo que ejecutan. Y esto hace que, en muchas ocasiones sin ser conscientes de ello, los usuarios puedan estar propagando virus y programas maliciosos como el ramsomware, uno de los preferidos hoy en día por los ciberdelincuentes.

¿Cómo es posible? De una manera tan sencilla como efectiva: cuando el usuario abre un archivo contaminado, la sincronización hace que, de manera automática ese malware se extienda a todos los equipos en los que se tiene instalada la aplicación. Y este es uno de los fallos de seguridad más peligrosos en el caso de empresas que trabajan con un sinfín de dispositivos interconectados, mucho más en momentos como los actuales, en los que la pandemia ha extendido el teletrabajo hasta niveles nunca antes conocidos.

En plataformas con sincronización como Dropbox, la exposición a los ataques es más elevada, en el sentido de que no todos los usuarios pueden tener implantados en sus equipos elementos de protección realmente eficaces. Si un dispositivo no cuenta con un buen antimalware, será una magnífica puerta de entrada para infectar al resto de equipos conectados.

Pero la amenaza no se dirige solo a equipos propios. El problema va más allá, ya que, en caso de compartir archivos con otros usuarios de la misma plataforma, lo que se estaría haciendo es replicar ese archivo malicioso y propagándolo a veces a la velocidad de la luz.

El mayor problema es que las herramientas que emplean los ciberdelincuentes son cada vez más sofisticadas y más difíciles de detectar. De ahí que aprovechen cualquier resquicio de vulnerabilidad de los sistemas de almacenamiento. Y aquellos que trabajan mediante sincronización, como Dropbox, hacen que los usuarios sean más sensibles a los ataques.

Otro problema relacionado con la sincronización y fallos de seguridad es la dispersión de archivos. En una plataforma como Dropbox, los documentos se pueden usar, modificar, copiar y compartir. Y es muy útil, pero también esto genera un serio problema cuando no hay mecanismos rigurosos de control y gestión de accesos.

Esa dispersión de documentos, si se combina con un acceso o uso inadecuados, puede tener serias consecuencias. Y ahí aparecen dos problemas: por un lado, el de la colisión de archivos y, por otro, el de fallos en las políticas de privacidad.

La custodia de los datos: un tema muy delicado

Todo lo relacionado con la privacidad es de vital importancia, tanto para evitar fallos de seguridad que afecten a terceros como para cumplir unas leyes cada vez más rigurosas al respecto.

El primer aspecto que hay que tener presente en este sentido es que esa sincronización que permite acceder desde cualquier dispositivo a la información, lo que puede provocar es que datos sensibles circulen con muy poco control y queden al descubierto y a merced de los ciberdelincuentes, que no tendrán que esforzarse mucho para conseguirlos y usarlos de modo fraudulento.

Y el segundo aspecto que se debe tener en cuenta es que, si es grave que información sensible de la compañía quede al descubierto, mucho más lo es cuando se trata de datos ajenos que estamos obligados a proteger. Es decir, cuando es información de clientes y proveedores. En ese caso, se podría incurrir incluso en delitos por incumplimiento de la Ley Orgánica de Protección de Datos que, además, conllevan sanciones importantes.

Por ello, es esencial ser muy precavidos al emplear servicios de almacenamiento en la nube con sincronización, como podría ser el caso de Dropbox o de muchos otros.

La cesión de datos: otro problema

Quizá no podría englobarse dentro de los fallos de seguridad, pero sí que puede generar una cierta inseguridad entre los usuarios. En este sentido, lo primero que hay que tener en cuenta es que, en el caso concreto de Dropbox, al aceptar sus condiciones se acepta también que la compañía comparta información del usuario con otras empresas. Amazon Web Services, Oracle, Salesforce o Google LLC serían algunas de ellas.

Es cierto que para Dropbox son “terceros de confianza”, y que las medidas de protección de datos son rigurosas. Sin embargo, compartir información nunca deja de entrañar riesgos y, para estar completamente seguros de que fallos de seguridad no pondrán en riesgo información confidencial, lo adecuado pasar por un proceso de encriptación de los datos sensibles por parte del usuario.

Y a ello hay que sumar una cuestión que también ha suscitado polémica en este sentido y que, de hecho, ha acabado en tribunales. Es la cesión de información a nivel internacional. En el caso de la Unión Europea, hay una rigurosa legislación en lo que a protección de datos se refiere. El problema se planteaba cuando esa cesión se realizaba a terceros en países no sometidos a la normativa comunitaria.

En este sentido, Unión Europea y Estados Unidos han firmado dos acuerdos en los últimos años para garantizar que las empresas norteamericanas que recababan datos de usuarios europeos cumplieran con unos niveles mínimos de seguridad. Pero ambos acuerdos han sido anulados por el Tribunal de Justicia de la Unión Europea (TJUE), el último hace unos meses, por falta de garantías.

Esta cuestión obliga a leer muy bien la letra pequeña de los contratos con empresas que cedan información, como sería el caso de Dropbox. La plataforma señala que cumple rigurosamente el Reglamento General de Protección de Datos (RGPD) pero cuando la información corre de mano en mano es más fácil que en algún punto de la cadena puedan surgir fallos de seguridad.

La mejor alternativa a Dropbox

Hoy en día existen servicios de almacenamiento en la nube que permiten evitar esos fallos de seguridad y problemas de confidencialidad de datos. Dataprius te ofrece un sistema en el que la protección se garantiza mediante herramientas como el cifrado de archivos en transferencia o el aislamiento de archivos para evitar ramsomware.

No solo eso, sino que los datos no se comparten y no hay sincronización, como en el caso de servicios en la nube como el que ofrece Dropbox. Con Dataprius se pueden otorgar permisos y accesos a los archivos bajo un riguroso control, pero estos no se replican, evitando la propagación de cualquier tipo de virus informático y mejorando los niveles de protección de los documentos.

La entrada Los fallos de seguridad de Dropbox que desconoces se publicó primero en Blog de Dataprius..