Roban más de 60 millones de credenciales de Dropbox

Si Dropbox no te ha pedido que cambies la contraseña deberías hacerlo ya. Los rumores de los últimos días se confirman: han robado más de 60 millones de credenciales (nombres de usuarios y hash de contraseñas) del popular servicio de almacenamiento en la nube, poniendo en serios aprietos la seguridad del sistema de cara a la rumoreada oferta pública que está barajando la compañía para su salida a bolsa.

A pesar de que la compañía confirmó que solo se robaron los correos electrónicos de los usuarios, parece que el asunto ha ido mucho más allá e incluye también las contraseñas de más de 60 millones de cuentas, algo que ha obligado a la compañía a resetear el password de un buen número de usuarios.

¿Lo más grave del asunto? Al principio la compañía apuntó que se trataba de un remanente del fallo del año 2012, una brecha de seguridad que ha seguido afectando a Dropbox, que ahora es una compañía de 10.000 millones de dólares. Y la cosa se dispara: 68.680.741 millones de credenciales de usuarios han volado y un buen porcentaje de las mismas son susceptibles de ser descifradas.

Y lo más grave aún: de esos 68 millones de contraseñas, solo 32 millones están asegurados con bcrypt, lo que significa que es poco probable que los hackers puedan obtener muchas de las contraseñas reales de los usuarios. El resto es el problema: muchas son contraseñas generadas y cifradas de forma mucho más laxa, lo que permite a los hackers extraer más información que las cifradas con bcrypt.

Además, muchos usuarios utilizan las mismas contraseñas y usuarios para múltiples servicios, por lo que el problema se va agravando. Si usas Dropbox, te hayan pedido que cambies o no la contraseña, cámbiala a la mayor brevedad posible.