dropbox1

Hace unos pocos dรญยญas os hablรกbamos de Dropbox, un servicio de almacenamiento de datos en la red que permite guardar hasta 2 GB de datos de manera gratuita. La propia empresa anunciaba que dichos datos se almacenaban de manera segura de la misma forma que se hace en la banca online y que hasta se encriptaban con el protocolo AES de 256 bits. Pero es muy probable que esos datos no estรฉn tan securizados como parecen.

La razรณn estรก en la propia polรญยญtica de la empresa, anunciada en otra parte de la web, tal como ha revelado un investigador privado que no ha querido dar su nombre por posibles represalias. Dropbox identifica los archivos enviados por los usuarios y busca entre todos los usuarios por si el archivo ya existiera. Si esto es asรญยญ, entonces deduplica los datos (utiliza la versiรณn previamente almacenada de ese archivo).

Dropbox-2

Eso le permite al usuario, segรบn explica la propia empresa, ahorrar un tiempo precioso a la hora de subir los archivos a la red. Y, claro, tambiรฉn le permite a la empresa ahorrar una buena cantidad de espacio con la consecuente reducciรณn del gasto. Hasta ahรญยญ todo bien, solo que el hecho de que la empresa pueda identificar los archivos significa que no estรกn tan seguros como parecรญยญan. Como remarca el investigador privado, no es tan importante que los datos estรฉn encriptados sino dรณnde y cรณmo se utilicen las claves de los mismos.

Cualquier usuario puede descubrir si un archivo ya existe subiรฉndolo y comprobando el trรกfico de datos. Si solo se suben unos pocos kilobytes entonces otros usuarios ya poseen ese archivo. ยฟPero quรฉ pasarรญยญa si el usuario que lo quiere comprobar pertenece a las fuerzas de la ley, y consigue una orden para que Dropbox revele los datos de los usuarios que poseen ese archivo? La mejor manera de mantener los datos seguros y privados es buscar un servicio que encripte los datos y que solo sea el propio usuario quien conozca la clave. Deduplicaciรณn y encriptaciรณn no es, sin duda, una buena pareja.