demostrarse que no protege adecuadamente los ficheros de los usuarios, o
al menos, no como anunciaba inicialmente la empresa en su web.
Dropbox es un servicio online de hospedaje de ficheros «en la nube»
ampliamente utilizado (25 millones de usuarios), que gracias al análisis
previo del hash permite ahorrar espacio: si se intenta subir un fichero
cuyo hash ya esté presente en Dropbox (en la cuenta de otro usuario por
ejemplo), el sistema simplemente enlaza con él sin tener que subirlo de
nuevo. La seguridad de Dropbox se basa en el cifrado AES256 con clave
creada y albergada en sus propios servidores.
Según se deriva de la queja formal alzada a la Comisión Federal de
Comercio (FTC) de los EEUU por parte del investigador Christopher
Soghoian, Dropbox mintió a los usuarios cuando anunciaba su servicio
como totalmente cifrado y, según anunciaban, «sin acceso interno de la
empresa al contenido de los mismos».
A medida que se hacía pública la información Dropbox ha ido modificando
las cláusulas de información sobre el cifrado:
En un principio, se anunciaba: «All files stored on Dropbox servers are
encrypted (AES256) and are inaccessible without your account password.»
(Todos los ficheros almacenados en los servidores Dropbox están cifrados
con AES256 y son inaccesibles sin la contraseña de la cuenta).
Luego, en abril fue modificado a un simple: «All files stored on Dropbox
servers are encrypted (AES 256).» (Todos los ficheros almacenados en los
servidores de Dropbox están cifrados con AES256).
Más tarde: «Dropbox employees aren’t able to access user files, and when
troubleshooting an account, they only have access to file metadata
(filenames, file sizes, etc. not the file contents)». (Los empleados
de Dropbox no tienen acceso a los ficheros de usuarios, y cuando se
estudian las cuentas, solo tiene acceso a metadatos y no al contenido
de ficheros).
Ahora, la web dice: «Dropbox employees are prohibited from viewing the
content of files you store in your Dropboxaccount, and are only
permitted to view file metadata (e.g., file names and locations)». (Los
empleados ‘tienen prohibido’ acceder al contenido de los ficheros y sólo
pueden inspeccionar a los metadatos de sus cuentas (nombres y rutas de
ficheros).
Y advierten además que: Like most online services, we have a small
number of employees who must be able to access user data for the reasons
stated in our privacy policy (e.g., when legally required to do so).
(«Como la mayoría de servicios online, contamos con un pequeño número de
empleados que tienen acceso total a los datos del usuario por razones
establecida en nuestra política de seguridad (por ejemplo cuando sean
legalmente requerido))».
En la investigación también se advierte que su servicio Mobile no
utiliza un canal SSL a la hora de enviar los archivos al contrario
de lo que se pudiera entender por la publicidad de Dropbox.
Estas rectificaciones de Dropbox han motivado el intento de Soghoian
para que la FTC investigue a la empresa por su dudosa política de
seguridad y que consiga que advierta correctamente al usuario del
verdadero nivel de la misma.
Hasta que se aclare el asunto, la única solución posible para asegurar
totalmente los datos es cifrarlos localmente a la hora de subirlos a
Dropbox o utilizar directamente servicios alternativos como SpiderOak
o Wuala.
Dropbox Lied to Users About Data Security, Complaint to FTC Alleges
http://www.wired.com/
Petición de investigación a la FTC PDF:
http://files.cloudprivacy.net/
