Dropbox ha compartido los resultados de una investigación sobre un hackeo en su infraestructura. Desde la empresa no se especifica cuándo ocurrió realmente el incidente, sino que, únicamente, se limitaron a indicar que el ataque fue detectado por empleados de la compañía el pasado 24 de abril. Aquí te contamos lo sucedido, qué datos se filtraron y cómo protegerte tanto tú, como tu empresa, de las consecuencias de este incidente en una de las herramientas de la conocida plataforma de almacenamiento de archivos.
Hackeo de Dropbox Sign: cómo ocurrió todo y qué datos fueron robados concretamente
Todo ocurrió cuando ciberdelincuentes no identificados lograron comprometer la cuenta del servicio Dropbox Sign, obteniendo así acceso al mecanismo de configuración automática interno de la plataforma. Mediante esta vía, los atacantes pudieron acceder a una base de datos que, a su vez, contenía información sobre los usuarios de Dropbox Sign.
Como resultado, fueron hackeados los siguientes datos de los usuarios registrados del servicio Sign:
- Nombres de usuario
- Direcciones de correo electrónico
- Números de teléfono
- Contraseñas (encriptadas)
- Claves de autenticación para la API de Dropbox Sign
- Tokens de autenticación OAuth
- Tokens de autenticación de dos factores por SMS o vía una aplicación
En el caso de aquellos usuarios del servicio que solo interactuaron con él (sin crearse una cuenta en el sitio), solo se filtraron sus nombres y direcciones de correo electrónico.
Desde Dropbox afirman que no se encontró signos de acceso no autorizado al contenido de las cuentas de usuario, es decir, documentos y acuerdos, así como información de pago. Sin embargo, como medida de protección, la plataforma restableció rápidamente las contraseñas de todas las cuentas de Dropbox Sign, además de dar por finalizadas todas las sesiones activas. De esta forma, como usuario potencialmente afectado, solo tendrás que iniciar sesión en el servicio nuevamente y, eso sí, establecer una nueva contraseña.
¿El hackeo de Dropbox Sign afecta a todos los usuarios de la plataforma?
Dropbox Sign, anteriormente conocido como HelloSign, es la herramienta independiente de flujo de trabajo de documentos en la nube de Dropbox, utilizada principalmente para firmar documentos electrónicos. Los análogos más cercanos de este servicio son DocuSign y Adobe Sign.
Como han comentado los propios portavoces de la empresa en su declaración, la infraestructura de Dropbox Sign está “en gran parte separada de otros servicios de Dropbox“. Así que, a juzgar por los resultados de la investigación de la empresa, el hackeo de Dropbox Sign fue un incidente aislado y no afectó a otros productos de Dropbox. Por lo tanto, según la información de la que se dispone, de ninguna manera amenaza a los usuarios del servicio principal de la empresa el almacenamiento de archivos en la nube de Dropbox en sí. Esto también es cierto para aquellos usuarios cuya cuenta de Sign estaba vinculada a su cuenta principal de Dropbox.
¿Qué deberías hacer tras el hackeo de Dropbox Sign?
Hay que saber que Dropbox ya ha restablecido las contraseñas de todas las cuentas de Dropbox Sign. Por lo tanto, en cualquier caso, solo tendrás que cambiar la contraseña. Además, recomendamos que esta clave sea completamente nueva, en lugar de una versión ligeramente modificada a partir de la anterior. Idealmente deberías generar una combinación larga y aleatoria de caracteres usando un gestor de contraseñas y almacenarla ahí.
Dado que también se hackearon algunos tokens de autenticación de dos factores, si es tu caso, también deberías restablecerlos. En el caso de haber utilizado SMS, el restablecimiento se debió dar automáticamente. Por último, si perteneces al grupo de usuarios que solía acceder a la herramienta mediante aplicación, el proceso sí tendrás que llevarlo a cabo tú mismo. Para hacerlo, simplemente inicia el proceso de registrar tu aplicación autenticadora con el servicio de Dropbox Sign como si fuera la primera vez.
Pero, en la lista de datos ‘robados’ por los ciberdelincuentes también hay incluidas varias claves de autenticación para la API de Dropbox Sign. Si es el caso de tu empresa (utilizando esta herramienta a través de la API), entonces sí necesitas generar una nueva clave o contraseña.
En definitiva, si has utilizado la misma contraseña en otros servicios, deberías cambiarla lo antes posible, especialmente si esta fue acompañada por el mismo nombre de usuario, dirección de correo electrónico o número de teléfono que especificaste al registrarte para Dropbox Sign. De nuevo, te recomendamos hacer uso de nuestro Gestor de Contraseñas, que, por cierto, es parte de nuestra solución de seguridad para pequeñas empresas.