Dropbox es uno de los proveedores de almacenamiento en la nube más populares del mundo. Si deseas almacenar tus archivos con una empresa que ha sido bien probada, esta es la opción obvia.
Sin embargo, si te preocupa la privacidad de los datos, elegir el proveedor adecuado se vuelve un poco más complicado. Dropbox tiene una puntuación alta, pero se encuentran lejos de ser los mejores.
Como la mayoría de los servicios en línea que tienen una larga historia que se remonta a los primeros días de la web, el pasado de Dropbox incluye hacks y filtraciones de datos.
El incidente más grave incluyó el robo de más de 68 millones de credenciales de cuentas en 2012 (los piratas informáticos intentaron vender estos datos en 2016), y el ataque llevó a la empresa a restablecer las contraseñas de millones de cuentas en 2016.
El almacenamiento en la nube es, por supuesto, un objetivo para los piratas informáticos. Es donde guardas tus datos, documentos y archivos importantes, ya sean personales, para tu negocio o relacionados con tus clientes.
Es fácil pensar que las infracciones solo ocurren a gran escala, contra las grandes corporaciones. Pero la verdad es que nadie está exento de un ciberataque. Por ejemplo, el 43% de los ciberataques se dirigen a las pequeñas empresas.
En este artículo, analizaremos cómo Dropbox mantiene tus archivos seguros y algunas áreas en las que definitivamente podrían hacer un mejor trabajo.
Historia de Dropbox
Como la mayoría de los servicios de Internet, Dropbox se creó porque su fundador, Drew Houston, no pudo encontrar una solución a un problema con la que satisfacer sus necesidades.
En el caso de Houston, mientras estudiaba en el MIT, descubrió que olvidaba constantemente la llave USB que contenía sus archivos y los servicios para compartir archivos que estaban disponibles en 2007 simplemente no satisfacían sus necesidades, con problemas como latencia, software defectuoso. e incapacidad para manejar archivos grandes entre sus principales quejas.
Y entonces Houston creó Dropbox, un servicio simple que permite a los usuarios almacenar archivos en línea mientras también sincronizan sus archivos con carpetas en sus PC, laptops y teléfonos inteligentes. Los usuarios pueden compartir archivos con otros y todo el servicio es gratuito, al menos para aquellos que no necesitan almacenar una gran cantidad de datos.
Como era de esperar, fue un gran éxito, y casi una década después de su lanzamiento por primera vez, Dropbox ahora tiene más de 500 millones de usuarios en todo el mundo con 1.200 millones de archivos cargados al servicio todos los días tanto por particulares como por clientes empresariales.
Algunos de los números asociados con Dropbox son asombrosos, lo que da una idea de la cantidad de datos que la empresa almacena y es responsable de mantenerlos seguros: 35 mil millones de archivos de Microsoft Office se almacenan en Dropbox; admite 20 idiomas diferentes; y cada segundo se realizan 4.000 ediciones de archivos en Dropbox.
Con un tesoro de datos tan grande, la seguridad y la privacidad son obviamente muy importantes para la empresa y sus usuarios.
Para ayudarnos a comprender qué tan seguro es el servicio de Dropbox, veamos primero cómo funciona el servicio.
Cómo funciona
La promesa de Dropbox de permitirte acceder a tus archivos dondequiera que estés y en cualquier dispositivo que estés utilizando es un argumento de venta enormemente convincente y todo es posible gracias al poder de la computación en la nube.
El acceso a Dropbox se realiza de varias formas. La primera es a través del sitio web de Dropbox, que te permite ver, cargar y descargar archivos, así como compartirlos con tu familia, amigos y compañeros de trabajo. Dropbox también tiene software que puedes instalar en prácticamente todos los sistemas operativos de escritorio, tabletas y teléfonos inteligentes. Esto te permite agregar o eliminar archivos fácilmente de tu cuenta de Dropbox.
Cuando colocas un nuevo archivo en la carpeta de Dropbox, se carga en el servidor central y luego se sincroniza con todas las computadoras, tabletas y teléfonos inteligentes en los que tienes Dropbox instalado.
Incluso si tu teléfono inteligente y tu PC están en la misma habitación, cualquier cambio realizado en tu carpeta de Dropbox se envía primero al servidor antes de que se actualicen todos los demás dispositivos.
¿Cómo funciona la seguridad?
Esto es lo que dice Dropbox sobre la seguridad:
“En Dropbox, la seguridad de sus datos es nuestra máxima prioridad. Contamos con un equipo de seguridad dedicado que utiliza las mejores herramientas y prácticas de ingeniería disponibles para crear y mantener Dropbox, y puede estar seguro de que hemos implementado varios niveles de seguridad para proteger y realizar copias de seguridad de sus archivos «.
Suena genial, pero ¿qué significa en realidad?
Bueno, cada vez que tengas que enviar tu información a través de Internet y ponerla en un servidor remoto, automáticamente aumentarás tu riesgo de seguridad.
Para compensar esto, Dropbox cifra todos los datos en tránsito mediante Secure Sockets Layer (SSL) / Transport Layer Security (TLS) entre las aplicaciones de Dropbox y sus servidores. Esto está diseñado para crear un túnel seguro protegido por cifrado estándar de cifrado avanzado (AES) de 128 bits o superior.
El software de Dropbox que instalas en tu PC o teléfono inteligente crea una conexión segura con los servidores de Dropbox y, por lo tanto, con los datos encriptados, nadie puede interceptar y leer esa información mientras está en tránsito.
Cuando llega a los servidores de Dropbox, tus datos se cifran con AES de 256 bits, que es un estándar reconocido en la industria y que es casi imposible de descifrar sin la clave de cifrado.
Luego, la información se sincroniza con todos tus otros dispositivos, y los datos se envían nuevamente a través de un canal encriptado. Una vez en tus otros dispositivos, los datos se descifran y almacenan en tu PC o teléfono inteligente.
Todo esto suena bastante seguro, y lo es, hasta cierto punto, pero todavía existen algunas preocupaciones importantes sobre la seguridad de Dropbox.
Problemas de seguridad de Dropbox
A pesar de toda la charla sobre el cifrado AES de 256 bits y las afirmaciones de que «la seguridad de sus datos es nuestra máxima prioridad», el hecho es que Dropbox tiene la capacidad de descifrar todos tus archivos y puede verlos cuando quiera, especialmente si hay alguna agencia de aplicación de la ley que se lo pide.
Esto genera una serie de problemas de seguridad para los usuarios. Por ejemplo, si un empleado de Dropbox se vuelve deshonesto y decide desbloquear todos tus archivos secretos, podría hacerlo, aunque debe señalarse que solo un número muy limitado de empleados tiene acceso a las claves de cifrado necesarias para hacer esto.
El hecho de que Dropbox almacene todas las claves de cifrado para sus usuarios significa que los piratas informáticos potenciales podrán violar sus sistemas y robar esta información muy valiosa, aunque debido a que Dropbox probablemente las almacena en una ubicación muy segura, la probabilidad de que esto suceda es de nuevo pequeña.
La verdadera preocupación es que Dropbox puede, si así lo desea, divulgar tu información a un tercero. La compañía ya ha declarado que si una agencia de aplicación de la ley llama con una citación, descifrará voluntariamente tus datos y se los entregará.
Esto ha llevado a algunas críticas de alto perfil a Dropbox. El excontratista de la NSA convertido en denunciante Edward Snowden no ha sido tímido en su desdén por Dropbox, lo calificó de «hostil a la privacidad» y utilizó a los usuarios para «deshacerse de él».
“Estamos hablando de cifrado”, dijo Snowden durante una entrevista remota para el Festival de Nueva York en 2014. “Estamos hablando de eliminar programas que son hostiles a la privacidad. Por ejemplo, ¿Dropbox? Deshágase de Dropbox, no admite el cifrado, no protege sus archivos privados».
Houston respondió diciendo que Dropbox podría ofrecer un mejor cifrado, pero es “una compensación entre usabilidad / conveniencia y seguridad. Ofrecemos a las personas opciones».
Houston dijo que si Dropbox implementara el «cifrado de conocimiento cero», entonces se impedirían servicios como la búsqueda, el acceso a aplicaciones de terceros, el acceso sin interrupciones a los datos desde dispositivos móviles y otras funciones.
Historial de infracciones de seguridad
En 2011, hubo un error de actualización. Permitía acceder a cualquier cuenta de Dropbox con solo la dirección de correo electrónico asociada, es decir, sin necesidad de contraseña. Este problema se resolvió en cuatro horas.
En 2012, hubo una filtración de datos. Esto resultó en la filtración de la dirección de correo electrónico y la contraseña de 68 millones de usuarios.
Para empeorar las cosas, el alcance del problema no se conoció hasta 2016. Hasta entonces, Dropbox creía que solo las direcciones de correo electrónico se habían visto afectadas.
En 2017, varios usuarios informaron que los archivos eliminados anteriormente habían comenzado a reaparecer en sus cuentas.
Aparentemente, hubo un error que impidió que estos archivos se eliminaran originalmente. Y cuando Dropbox solucionó ese error, los archivos volvieron a aparecer.
Esto es particularmente problemático porque muchos de los archivos que reaparecieron tenían varios años.
Problemas de privacidad
Además de los problemas relacionados con la seguridad, la propia Política de privacidad de Dropbox destaca algunos problemas que los usuarios deben tener en cuenta:
Retención de datos
Los usuarios deben saber que cuando se registran, la empresa retiene y almacena información como nombres de usuario, correos electrónicos, direcciones, números de teléfono, información de tarjetas de crédito y detalles de redes sociales. Esta es una práctica común entre casi todas las empresas en línea, pero los usuarios deben ser conscientes de ello.
Eliminar tu cuenta no necesariamente elimina tus datos
Si bien puedes eliminar tu cuenta, Dropbox se reserva el derecho de retener tus datos para «cumplir con nuestras obligaciones legales, resolver disputas o hacer cumplir nuestros acuerdos», según la vaga explicación de la compañía.
Puede haber varias razones para necesitar retener tu información, incluso si tus datos están vinculados a obligaciones legales o disputas, pero la redacción de la política de Dropbox la deja abierta a la interpretación, lo que nunca es bueno cuando se trata de tus datos.
Compartir información personal
Dropbox deja en claro que nunca venderá tu información personal, pero no tiene ningún problema en compartirla con otros. Si inicias sesión en tu cuenta de Dropbox a través de una aplicación de terceros, por ejemplo, Facebook, Dropbox compartirá tu información personal con Facebook.
Dropbox también comparte tu información con Amazon porque utiliza el servicio S3 de Amazon para el almacenamiento y debe entregar tus datos. También compartirá su información si cree que existe un peligro para la empresa o sus usuarios, aunque no define cuáles podrían ser estas situaciones, pero es probable que se trate de fraude o robo de propiedad.
Finalmente, Dropbox también entregará tu información personal si es vendida o adquirida por otra empresa.
Dropbox sabe dónde estás
Sería muy fácil para Dropbox averiguar dónde están sus usuarios, simplemente usando la información GPS de los dispositivos desde los que se envía la información, pero la compañía dice que no monitoriza las ubicaciones de los usuarios. Sin embargo, lo que hace la empresa es utilizar datos incrustados en los archivos que los usuarios están cargando (datos EXIF en fotos y videos), así como utilizar tu dirección IP para obtener una estimación aproximada de en qué parte del mundo te encuentras.
En general, si bien Dropbox afirma que la seguridad y la privacidad son una prioridad, está claro que si tu o tu empresa deseáis usar Dropbox para ocultar datos confidenciales y valiosos, existen riesgos involucrados.
Haz que Dropbox sea más seguro en 10 pasos
Afortunadamente, existen algunos pasos que puedes seguir para hacer que tu contenido sea más seguro.
1. Habilita la verificación en dos pasos
Una herramienta enormemente poderosa para evitar el acceso no autorizado a tus cuentas, es la verificación en dos pasos (o autenticación de dos factores como también se la conoce). Está disponible en los servicios en línea más populares en la actualidad, incluidos los de Gmail y Facebook.
Las funciones te permiten solicitar que se envíe un código a tu teléfono inteligente cada vez que alguien intente acceder a tu cuenta desde un nuevo dispositivo.
Para activar la función en Dropbox, haz clic en el menú desplegable en la esquina superior derecha de la página de inicio de tu cuenta y presiona Configuración.
Esto abrirá una nueva ventana y aquí puedes presionar la pestaña Seguridad. Verás el estado de la verificación en dos pasos en tu cuenta y, si está deshabilitada, presiona el enlace «hacer clic para habilitar» para configurarla.
Te pedirá que vuelvas a ingresar la contraseña de tu cuenta durante el proceso de configuración, y luego te preguntará si deseas que tus códigos se envíen a tu teléfono como un mensaje de texto o a una aplicación como Google Authenticator.
Luego te pedirá que ingreses tu número de teléfono y te enviará un código para asegurarse de que el sistema esté funcionando. Dropbox luego solicita un número de respaldo en caso de que pierdas tu propio teléfono. Finalmente, Dropbox te presenta una lista de 10 códigos de respaldo que debes imprimir o anotar y guardar en un lugar seguro.
Ahora puedes hacer clic en el botón Habilitar verificación en dos pasos para finalizar el proceso.
2. Eliminar dispositivos vinculados
Si has estado usando Dropbox durante mucho tiempo y durante ese tiempo has cambiado de PC y teléfono inteligente varias veces, entonces probablemente tengas una larga lista de dispositivos vinculados, y es muy fácil verlos, cuándo los usaste por última vez y eliminarlos de la lista.
En la misma pestaña de Seguridad donde habilitaste la verificación de dos pasos arriba, desplázate hacia abajo para ver la lista de Dispositivos. Aquí verás los nombres de los dispositivos a los que conectaste tu cuenta de Dropbox, dónde los usaste y cuándo fue la última vez que accediste a Dropbox en los dispositivos.
En el extremo derecho de la lista, verás una ‘x’ que te permite desvincular el dispositivo y asegurarte de que si ese dispositivo es utilizado por otra persona, no podrán acceder automáticamente a tu cuenta.
3. Verifica las sesiones web
Si te preocupa que tu cuenta de Dropbox pueda haber sido comprometida, entonces es relativamente fácil de verificar.
En la misma página de Seguridad, justo encima de la lista de dispositivos vinculados, los usuarios pueden ver sus sesiones web actuales, lo que muestra qué navegadores están conectados actualmente a su cuenta de Dropbox. Esta lista puede ayudarte a que nadie más esté iniciando sesión en tu cuenta y puede mostrarte rápidamente dónde están sucediendo todas las sesiones.
4. Administra tus aplicaciones vinculadas
Como se mencionó anteriormente, cuando inicias sesión en Dropbox a través de una aplicación de terceros, la empresa comparte tu información personal con esa aplicación. Con el tiempo, es posible que olvides las aplicaciones a las que has otorgado permiso para acceder a tu cuenta de Dropbox y es posible que hayas dejado de usar esas aplicaciones por completo.
Hacia la parte inferior de la página de configuración de seguridad de Dropbox, puedes ver todas las aplicaciones a las que has otorgado permiso a lo largo de los años y, al igual que con la eliminación de los dispositivos de confianza, puedes revocar fácilmente el permiso para cualquier aplicación determinada.
5. Configurar notificaciones por correo electrónico
Si la verificación en dos pasos no es una red de seguridad suficiente para ti, Dropbox te ofrece la opción de recibir correos electrónicos enviados a tu cuenta cada vez que algo cambia, incluidos los inicios de sesión desde nuevos dispositivos o navegadores, siempre que haya nuevas aplicaciones que tienen acceso o cuando se elimina una cantidad significativa de archivos.
Las notificaciones por correo electrónico se pueden administrar desde los paneles Perfil del menú Configuración.
6. Utiliza una VPN
Si bien es posible que Dropbox no pueda rastrear tu ubicación con precisión, aún puede tener una idea general de en qué parte del mundo te encuentras y, dependiendo de cómo se asigne tu dirección IP, podría identificar tu ubicación con bastante precisión.
Sin embargo, existe una forma fácil de evitar esto. Una red privada virtual o VPN es una red de computadoras conectadas que crea un túnel encriptado que redirecciona tu navegación a un servidor en la red VPN en lugar de un servidor público. Esto significa que Dropbox (o cualquier otra persona) no podrá ver tu dirección IP real.
7 . Utiliza tu propio cifrado
Una forma de eludir la capacidad de Dropbox para espiar tus datos es llegar antes que ellos y cifrar toda tu propia información antes de que se cargue en Dropbox, lo que significa que la empresa no tendrá las claves de cifrado necesarias para desbloquear tus archivos.
Boxcryptor es un servicio gratuito que se integra con Dropbox y funciona en las principales plataformas móviles y de escritorio para permitirte cifrar los datos antes de que salgan de tu computadora. El único problema es que debido a que Boxcryptor tiene un enfoque de «conocimiento cero» para el cifrado, si olvidas tu contraseña, la empresa no podrá recuperar tus datos.
8. Utiliza una contraseña segura o un administrador de contraseñas
Este es un consejo que se aplica a casi todos los servicios en línea: usa una contraseña segura. Esto significa utilizar una combinación de letras mayúsculas y minúsculas, números y símbolos, evitando reutilizar la misma combinación de caracteres de otros servicios. Dropbox sugiere usar «mayúsculas no estándar, ortografía creativa, jerga personal y números y símbolos no obvios (¡usar $ para s o 0 para o es demasiado obvio!)».
Sin embargo, tratar de recordar una contraseña única y extensa es un desafío, especialmente si tienes una diferente para cada servicio. Aquí es donde entran los administradores de contraseñas. Ellos recordarán todas tus contraseñas por ti y tu tendrás que recordar una sola contraseña para poder acceder a todas tus cuentas.
9. Sincronización y copia de seguridad de otros servicios de almacenamiento de archivos seguro
Al igual que Dropbox, otros sistemas de almacenamiento de archivos tienen funciones de seguridad integradas. Si realizas una copia de seguridad de tus archivos almacenados en Dropbox, el uso de procesos automatizados integrados en otro sistema seguro refuerza la seguridad de los datos, al tiempo que brinda protección a la conexión.
Las copias de seguridad son una necesidad de seguridad de datos bien conocida. Por lo tanto, utiliza un servicio seguro para fortalecer la protección de datos. Un ejemplo de cómo esta función se puede configurar fácilmente con otro sistema de archivos es la integración de Dropbox con Files.com. Conectar tus cuentas para estos dos servicios juntos te permite sincronizar los archivos de un sistema de almacenamiento con un segundo servicio. El proceso de sincronización está automatizado, por lo que gestiona tu servicio de copia de seguridad.
La sincronización a través de Internet entre Dropbox y Files.com se realiza con FTP pero protegido por TLS. Esto te da una conexión FTPS. Elige un servicio secundario que también cifre los archivos en reposo. Files.com aplica el cifrado AES-256 a todas sus cuentas de usuario.
10. Prueba una alternativa a Dropbox
Si todas estas opciones aún no son suficientes para convencerte de que Dropbox es seguro, existen alternativas disponibles.
Aquí te dejamos algunas alternativas a Dropbox.
SpiderOak
El único servicio que Snowden ha promovido en el pasado se llama SpiderOak, que básicamente promete las mismas funciones que Dropbox, pero con el beneficio adicional de no tener la capacidad de ver qué archivos están almacenados en sus servidores, afirmando como lo hacen una «nube de conocimiento cero solución.»
Ofrece características similares a Tresorit, pero tiene el beneficio adicional de ser de código abierto y estar equipado con un canario de garantía.
Tresorit
Tresorit tiene su sede en Suiza, que alberga algunas de las leyes de privacidad más estrictas del mundo. Utiliza cifrado de 256 bits incluso durante el tránsito. Y es conocimiento cero. El único inconveniente real de Tresorit es que no es de código abierto.
NextCloud
NextCloud adopta un enfoque ligeramente diferente, ya que en realidad no almacena tus archivos. En cambio, ofrece cifrar tus archivos antes de cargarlos en la nube.
Esto significa que se puede utilizar con otros proveedores de almacenamiento en la nube, incluido Dropbox, para agregar la funcionalidad de conocimiento cero.
Sync.com
Otra opción es Sync.com, un servicio con sede en Canadá que se autodenomina «¡el servicio de almacenamiento en la nube más privado y seguro del planeta!»
Además de un enfoque de conocimiento cero, las contraseñas nunca se transmiten a Sync y la empresa no almacena contraseñas ni hash de contraseñas durante la creación de la cuenta o cuando inicias sesión.
E-Box
E-Box es una empresa de almacenamiento en la nube con sede en el Reino Unido y, a diferencia de Dropbox, que aloja todo en servidores con sede en EE.UU., tiene servidores ubicados en el Reino Unido, lo que puede ser un beneficio significativo para las empresas del Reino Unido o Europa. E-Box está completamente basado en la web, lo que significa que cualquier dispositivo con conexión a Internet y un navegador web puede acceder a él.
Entonces, ¿Dropbox es seguro?
En términos de seguridad, Dropbox hace muchas cosas bien.
El principal problema con el servicio es que no es de conocimiento cero. Y esto es algo que la empresa hace deliberadamente como parte de un compromiso entre la privacidad y la experiencia del usuario.
Para muchas personas, Dropbox es lo suficientemente seguro. Pero si te preocupa la privacidad o estás cargando archivos confidenciales, no se puede negar que existen mejores alternativas.