Por desgracia, cada pocos días nos topamos la noticia de que algún servicio online de envergadura ha visto comprometida su privacidad. Este fin de semana se ha vivido por partida doble, anunciándose que muchos usuarios de DropBox y Snapchat han sufrido el robo de sus cuentas, aunque en ambos casos se ha confirmado que no se ha accedido mediante técnicas de hacking a los servidores de estos conocidos servicios, sino que los afectados habían utilizado aplicaciones no oficiales de terceros o utilizaban la misma cuenta en todos lados.
La confirmación de DropBox
Hace escasos días, un hacker anónimo afirmó a través de Reddit que había conseguido los credenciales de siete millones de cuentas de DropBox, mostrando algunos cientos de ellas a través de capturas en texto plano como «adelanto» y solicitando el pago en Bitcoins por parte de otros usuarios para compartir públicamente el resto. Rápidamente se confirmó que muchas de esas cuentas y passwords, efectivamente, eran reales, aunque la fuente de dicha filtración sigue siendo un misterio.
DropBox ha tardado poco en lanzar un comunicado oficial en el que afirma que estas cuentas de usuario y contraseña no han sido tomadas de sus propios servidores y que no han sufrido ataque alguno, confirmando que el robo masivo proviene del hackeo de algún servicio de terceros, pero que dada la mala costumbre de utilizar el mismo nombre de cuenta y contraseña para distintos servicios, un gran porcentaje de la base de datos de usuarios coincidía con los credenciales de DropBox.
Por si esto fuera poco, unos días antes se anunció un fallo con algunas versiones antiguas del cliente de escritorio de DropBox que ha borrado muchos de los archivos que tenían los usuarios hospedados al realizar una sincronización errónea. Tras confirmarse el problema, se ha bloqueado el uso de dichas versiones del cliente y se ha compensado a los afectados con un año de DropBox Pro, además de recuperarse una parte del contenido eliminado.
Snapchat y la aplicación de Facebook
Snapchat es un conocido servicio para el envío y recepción de fotografías con la posibilidad de hacer que se eliminen después de su visionado. En este caso, se confirma el robo de 500MB de fotografías tomadas de varios usuarios, aunque una vez más, el fallo de seguridad no proviene de la propia Snapchat, sino de una herramienta externa llamada Snapsave que realiza copias de seguridad de las imágenes que recibimos. Al parecer, dicho servicio almacenaba una copia de los archivos aunque el usuario los borrara, por lo que un hackeo a su base de datos ha propiciado la situación.
Snapchatters were victimized by their use of third-party apps to send and receive Snaps, a practice that we expressly prohibit in our ToU.
— Snapchat (@Snapchat) October 10, 2014
Moraleja
El tuit anterior de la cuenta oficial de Snapchat lo deja bastante claro: el uso de herramientas third-party para interactuar con el cliente oficial está terminantemente prohibido tal y como recoge la licencia de uso. Tanto este caso como en el de DropBox deja claro que debemos andarnos con mil ojos al utilizar servicios de terceros que interactuan con otras herramientas. En estos tiempos de servicios web y login social es normal que «se nos vaya» el dedo a la hora de registrarnos en sitios y utilizar herramientas de dudosa proveniencia al ser terriblemente cómodas de utilizar, pero por enésima vez, lo que impera aquí es el sentido común.
Aunque ningún servicio es 100% seguro (y si no que se lo digan precisamente a Snapchat y los miles de números de teléfono expuestos en enero de este año) toda precaución es poca, y además de lo obvio que resulta que nos recomienden el uso de diferentes contraseñas para cada sitio en el que nos registramos, cada vez está más extendido el uso de la confirmación en dos pasos para blindar nuestras cuentas tal y como sugiere la propia DropBox. Y si no, siempre nos quedará el disco duro externo escondido bajo una baldosa.
al loro