El algoritmo de encripción de Dropbox ha sido roto

Dropbox ofrece a sus usuarios uno de los servicios más solicitados en Internet. Tener la posibilidad de sincronizar archivos a lo largo de toda la colección de dispositivos que un usuario pueda tener, es una bendición en esta era moderna de la fragmentación. Sin embargo, Dropbox ha alcanzado un éxito relativamente pobre al intentar llegar al mercado corporativo con su oferta. Noticias conocidas hoy acerca de una posible vulnerabilidad en la seguridad del servicio podrían afectar seriamente las iniciativas de la compañía en este sentido.

Dhiru Kholia de Openwall y Przemyslaw Wegrzyn de CodePainters anunciaron esta semana en el marco de la conferencia de seguridad USENIX que lograron hacer ingeniería inversa al proceso de encriptación utilizado por Dropbox para comunicar los servidores de la compañía con los clientes en los dispositivos de sus usuarios.

A pesar de que los dos ingenieros definitivamente no tuvieron malas intenciones a llevar a cabo el proceso, lograron descubrir una vulnerabilidad potencialmente importante en el servicio, demostrando de paso "cómo usar técnicas de inyección de código para interceptar datos SSL, esencialmente interceptando las comunicaciones de Dropbox, así como también pasando por alto la autenticación de dos factores utilizada para proteger las cuentas".

Dicho en castellano, usando las técnicas descubiertas por los dos investigadores es posible interceptar y leer la información trasmitida al utilizar una cuenta de Dropbox. Y a pesar de que para el usuario promedio esto puede no implicar mucho, Dropbox ha intentado penetrar en el mercado corporativo, y en ese escenario un fallo de seguridad de este estilo puede representar pérdidas de millones.

En un comunicado, Dropbox agradecido a los investigadores su contribución pero ha dicho que sus hallazgos no representan un impacto importante en el mundo real: "creemos que esta investigación no presenta una vulnerabilidad en el cliente de Dropbox. En el caso descrito aquí, el ordenador del usuario debería primero haber sido comprometido de una manera tal que dejaría todo el computador, no solamente el Dropbox del usuario, abierto por completo a ataques".

A pesar de que en un comunicado posterior los investigadores admitieron que esto es cierto, la situación no deja de presentar componentes preocupantes, ya que son millones los usuarios del servicio hoy en día. Tal vez sea hora de dejar de mantener material importante en Dropbox, o al menos gestionar con más cuidado la seguridad de nuestras cuentas.