Como usted y como yo, un empleado de la empresa estadounidense Dropbox también solía utilizar la misma contraseña para varias cosas. Sí, es un engorro tener que andar acordándose pero, por desgracia, cuando la red social LinkedIn sufrió una filtración de datos, las contraseñas cayeron en poder de los hackers, que luego las probaron en otros servicios.
Así, en 2012, muchos usuarios empezaron a recibir spam en cuentas de correo electrónico que sólo usaban para Dropbox. Aunque la compañía de almacenamiento no dijo nada entonces, ahora sabemos que además de las cuentas también se llevaron datos de las contraseñas de estos usuarios. Ahora, los datos de esas 68.680.741 contraseñas han sido volcados a internet y pueden incluso consultarse en algunas páginas web.
Hace unos días, Dropbox envió un mensaje a sus usuarios instándoles a cambiar la contraseña si no lo habían hecho desde mediados de 2012, que es cuando se produjo la filtración.
Tranquilidad, por favor
Sin embargo, y aunque su correo electrónico aparezca en esa lista, la posibilidad real de que alguien logre acceder a su contraseña de Dropbox a partir de esta filtración es muy, muy limitada. En primer lugar, porque las contraseñas estaban cifradas mediante los sistemas SHA-1 (acrónimo en inglés de Algoritmo de Hash Seguro) y bcrypt. Además, la compañía estadounidense había empleado sal, una técnica de criptografía que introduce caracteres aleatorios para hacer que descifrar estas contraseñas sea aún más difícil.
¿Significa esto que los datos de sus contraseñas son inviolables? En absoluto. Como indica Troy Hunt, el experto en encriptación que ha alertado hoy de la veracidad de los datos de Dropbox liberados a la red, su contraseña, que se encontraba entre las filtradas a Motherboard, tenía el siguiente aspecto:
$2a$08$W4rolc3DILtqUP4E7d8k/eNIjyZqm0RlhhiWOuWs/sB/gVASl46M2
Empleando software especializado, Hunt fue capaz de verificar que tanto su contraseña como la de su pareja estaban realmente contenidas en ese código, aunque hay que subrayar que en ambos casos, el informático conocía las claves.
En cualquier caso, estos expertos sugieren seguir las recomendaciones de Dropbox, que son cambiar la contraseña y activar el sistema de verificación en dos pasos. En la actualidad, y para evitar episodios similares, la empresa emplea el gestor de contraseñas 1Password para uso corporativo.