Web BizarroWeb Bizarro

Suscríbete a nuestro Newsletter

X

Únete a nuestra lista de correos para recibir semanalmente actualizaciones de nuestro contenido.

¿Por qué Dropbox puede ser hackeado?

¿Por qué Dropbox puede ser hackeado? 28.AUG.13

Gianfranco Lemmo
Fundador WebBizarro

Dropbox ha tenido su cuota de problemas de seguridad últimamente. Un día tuvieron problemas de seguridad, debido a unos hackers que pudieron romper los protocolos de autenticación. Otra vez, consiguieron los login de usuarios que pudieron ser robados por sitios de terceros. Ahora se trata de un par de investigadores que demostraron que podían arrasar con las medidas de seguridad de Dropbox.

Para los usuarios, esto puede ser realmente una alarmante noticia, especialmente para aquellos que dependen de Dropbox en gran medida.

Lo que está claro es que estos investigadores no tienen malas intenciones. Dhiru Kholia y Przemyslaw Wegrzyn, autores del artículo "Looking inside the (Drop) box", sólo quería demostrar que podían vulnerar a Dropbox. Y lo hicieron.

La ingeniería inversa, o averiguar el desarrollo de una aplicación, trabajando hacia atrás a partir de su producto terminado, es una práctica bastante común. Pero pocos pensaban que Dropbox podría ser vulnerable a ella.

La aplicación fue escrita en Python y se basó en gran medida a descifrar la ofuscación del código, lo que utilizaron los creadores de este servicio para ocultar su código fuente.

Se describe un método para evitar la doble autenticación y como robar las cuentas de Dropbox. Además, se presentan técnicas genéricas para interceptar datos SSL utilizando técnicas de inyección de código y Monkey patch.

En otras palabras, fueron capaces de hacer modificaciones sin alterar el código fuente original de Dropbox. También explotaron el "Launch Dropbox Website"  un elemento situado en la bandeja del sistema de Windows que permite a los usuarios el acceso automático a la página web. La nueva versión de escritorio es más segura que la anterior aunque aún podría estar en riesgo sus cuentas.

El equipo demostró que es posible acabar con la seguridad de inicio de sesión de dos pasos de Drobox, secuestrar cuentas y exponer el código que podría permitir a piratas informáticos astutos para idear algunos programas ingeniosos (o malicioso).

Afortunadamente, los investigadores no tienen mala intención. Sólo querían probar un punto: Bloquear el acceso al código con diferentes métodos de ofuscación no evita que tu sitio sea hackeado.

Por mi parte, me aseguro de que mi información sensible no está entre ellos. Guardo conexiones importantes y otros datos personales a nivel local (ya sea en mi ordenador portátil o en una unidad externa).

Puedo ser atípico, pero al mismo tiempo me gusta utilizar servicios como Dropbox para mayor comodidad, lo hago sabiendo que no son 100% seguros. De hecho, tengo en consideración de que los hacks y las infracciones son inevitables. Una simple reseña para que presten atención, que tipo de archivos guardan en los servicios de la nube de cualquier compañía en general.