Más de 60 millones de usuarios podrían estar afectados por el ataque a Dropbox

No ha pasado ni una semana desde que te preguntamos cuánto hace que no cambias tu contraseña de Dropbox, y no era una pregunta retórica. La propia compañía anunciaba un reseteo masivo para todos los usuarios que no hubiesen cambiado su clave de acceso desde mediados de 2012, todo a causa de un ataque sufrido entonces y del que ahora se acaban de conocer más datos.

Lo que se dijo en 2012 fue que «un hacker consiguió acceder a la contraseña de un empleado de Dropbox y robar una lista con direcciones de correo electrónico de usuarios», y fue a raíz del spam que recibieron muchos de esos usuarios que se supo que algo había pasado. Pero esa era solo una pequeña parte de la verdad. Lo cierto es que la mala práctica de seguridad de uno de sus empleados llevó a que fuesen sustraídos muchos más datos, incluyendo más de 60 millones de contraseñas.

Al parecer, la reutilización de contraseñas por parte de un empleado de Dropbox -utilizar la misma para diferentes servicios, personales, laborales, etc- fue el primer eslabón que rompió, que no el único. De las credenciales robadas, como sucede habitualmente, la contraseñas estarían cifradas, pero no todas de manera óptima. El gran problema, sin embargo, sería la mencionada reutilización de contraseñas.

En esencia, hace una semana que Dropbox reaccionó a un fallo de seguridad de hace tres años, y aunque desde la compañía afirman que todos los usuarios que pudieran haber estado expuestos han sido alertados, es ahora, conocido el auténtico alcance del ataque, cuando la recomendación de cambiar todas las contraseñas coincidentes cobra sentido. Esto es, en Dropbox pedían «para cualquiera de haya utilizado su contraseña de Dropbox en otros sitios, se recomienda que la cambie en Dropbox y otros servicios». Y lo dicen tres años después.