ChannelBiz

La autenticación de doble factor que Dropbox implementó hace casi un año ha demostrado no ser tan segura como se pensaba. A primeros de julio se detectaba una vulnerabilidad crítica que permitía que un hacker superara esa autenticación que lo que hace es crear una segunda capa de seguridad.

Y hace unos días, durante la celebración de USENIX 2013, un congreso de seguridad que se ha celebrado en Washington, dos investigadores rompieron la seguridad de Dropbox interceptando datos SSL de los servidores y evitando la autenticación de doble factor del proveedor de almacenamiento en la nube. Un trabajo que han publicado en un documento.

Según  los investigadores las técnicas que han utilizado para lograrlo son tan genéricas que creen que podrán ayudar en los futuros desarrollos de software.

“Dropbox es un servicio de almacenamiento de archivos basado en la nube utilizado por más de 100 millones de usuarios. A pesar de su enorme popularidad creemos que Dropbox como plataforma no ha sido analizada suficientemente desde un punto de vista de seguridad”, dicen los investigadores, que también comentan que ciertos análisis sobre la seguridad de Dropbox han sido “duramente censurados”.

El servicio de almacenamiento online ha respondido a los investigadores diciendo que aprecian las contribuciones de estos investigadores y de cualquiera que mantenga Dropbox a salvo. También puntualizan que para que el trabajo de los investigadores tuviera éxito, primero se tendría que comprometer completamente el ordenador del usuario, según un comunicado remitido a ComputerWorld.

Por el momento, lo que está a disposición de cualquiera es el proceso detallado de los investigadores, que incluye técnicas de inyección SQL e interceptación de datos SSL.