El gigante del almacenamiento en la nube, Dropbox, ha revelado una brecha importante en sus sistemas, exponiendo los datos de los clientes a entidades no autorizadas. El incidente, detallado en un nuevo documento regulatorio, afectó principalmente a Dropbox Sign, un servicio similar a DocuSign, que permite a los usuarios administrar documentos en línea. Según el documento, la dirección se dio cuenta de la infracción el 24 de abril e inmediatamente inició medidas de ciberseguridad. La investigación reveló que los atacantes accedieron a diversos datos de los usuarios, incluidos correos electrónicos, nombres de usuarios, números de teléfono, contraseñas hash e información de autenticación como claves API y tokens OAuth. «Se implementan procesos de autenticación para evitar que los ciberdelincuentes accedan a sistemas o cuentas incluso cuando hayan robado credenciales», explicó Stephen Robinson, analista senior de inteligencia de amenazas de WithSecure. «Sin embargo, el robo de datos de autenticación, como tokens y certificados, puede permitir que estos procesos de seguridad se eludan por completo». Además, como se informó en una publicación de blog publicada el miércoles por Dropbox, incluso las personas que interactuaron con Dropbox Sign sin crear una cuenta vieron comprometida su información. La compañía dijo que no encontró evidencia de acceso al contenido de las cuentas de los usuarios o a la información de pago. Parece que el ataque estuvo contenido dentro de la infraestructura de Dropbox Sign, sin afectar a otros productos de Dropbox. Este aislamiento subraya la naturaleza compleja del entorno de TI de Dropbox, derivado de su adquisición de HelloSign en 2019. Según se informa, la violación se debió a una cuenta de servicio comprometida dentro del backend de Dropbox Sign, lo que permitió a los atacantes acceder a la base de datos de los clientes. En respuesta, Dropbox ha tomado medidas como restablecer contraseñas, desconectar a los usuarios de los dispositivos conectados y rotar claves API y tokens OAuth. «Incidentes como este muestran lo fundamental que es para las grandes organizaciones mejorar la ciberresiliencia», añadió Robinson. «Los métodos rentables que recomendamos implementar a todas las organizaciones incluyen evaluaciones periódicas de riesgos, cronogramas rigurosos de parches y el fomento de una sólida cultura de ciberseguridad respaldada por políticas de seguridad claras». Lea más sobre las noticias de Dropbox: Dropbox solía robar credenciales y eludir MFA en una nueva campaña de phishing A pesar de la infracción, Dropbox aseguró a los inversores que no ha tenido un impacto financiero significativo. En el futuro, la compañía planea comunicarse con los usuarios afectados con instrucciones sobre cómo proteger sus datos. La investigación está en curso y Dropbox promete más actualizaciones a medida que surjan. Ni la presentación regulatoria ni la publicación del blog mencionan la prestación de servicios gratuitos de protección de identidad a los usuarios afectados, que comúnmente se ofrecen después de violaciones de datos. Crédito de la imagen: Dean Drobot/Shutterstock.com