La popularidad de servicios como Dropbox y otros similares se ha disparado en los últimos años ya que para los usuarios es muy cómodo simplemente arrastrar los archivos a un icono que coloque los datos en la nube, los comparta con otros usuarios y sincronice automáticamente nuevas versiones a través de múltiples dispositivos.

Pero la facilidad de uso y la falta de seguridad a menudo van de la mano, y un grupo de investigadores está poniendo al descubierto una verdad incómoda: si un ordenador con funcionalidad de Dropbox se ve comprometido, la función de sincronización permite que cualquier malware instalado por el atacante llegue a otras máquinas y redes que utilicen el servicio. "La gente no tiene en cuenta que una vez que has configurado Dropbox, cualquier cosa que pongas en la carpeta de sincronización pasa libremente a través del firewall", señala Jacob Williams, científico forense digital en CSR Group. "Lo hemos probado en varios servicios, y hace que los datos pasen directamente a través del firewall".

Williams asegura que en las últimas semanas ha sido capaz de hacerlo no solo con Dropbox, sino también con servicios de la competencia: SkyDrive, Google Drive, SugarSync y Amazon Cloud Drive. "Esto es como el correo electrónico en los años 90", asegura. "Es algo que queríamos tener, pero venía con spam, malware de comando y control, y distribución de malware. Simplemente aún no tenemos las herramientas de seguridad y detección necesarias para dar cobertura a Dropbox y a otros servicios similares".

Nadie en Dropbox, fundada en 2008 por Drew Houston y Arash Ferdowsi, ha querido hacer comentarios sobre el asunto. El servicio cuenta con más de 175 millones de usuarios.

La investigación sobre Dropbox y otros servicios similares se suma a una larga lista de problemas de seguridad recientes acerca del almacenaje de datos y la computación en servidores remotos o 'en nube'. Si bien usar estos servicios pueden resultar mejor que hacer las cosas tú mismo, los investigadores de seguridad siguen encontrando nuevas formas de atacarlos. "Con el creciente uso de los servicios basados ​​en nube, este tipo de ataques van a reaparecer hasta que las plataformas maduren", afirma Radu Sion, científico informático e investigador de seguridad en la Universidad de Stony Brook (EE.UU.). "De hecho, en este caso el ataque no está dirigido a Dropbox, sino al uso que hacen las personas de Dropbox. Dropbox solo ha facilitado un canal para que los documentos [infectados] pasen a través del firewall de la empresa". Se ha referido a ello como "una buena combinación de todos los tipos de ataque existentes".

Williams descubrió el uso de Dropbox como vector de ataque cuando un cliente le pidió probar la seguridad de una red corporativa. Como primer paso, y sin relación con Dropbox, Williams obtuvo una dirección de correo electrónico personal del director de información y llevó a cabo con éxito un ataque de spear-phishing cuando el director hizo clic en un archivo adjunto que contenía malware. Cuando el director salió de la oficina con su ordenador portátil, Williams fue capaz de obtener acceso al ordenador, y encontró documentos de la empresa en una carpeta de sincronización de Dropbox.

Esto por sí mismo no es suficiente como para culpar a Dropbox, ya que todo en el ordenador, desde contraseñas y fotos familiares, acabó estando expuesto. Pero el siguiente paso crucial implicó el uso de Dropbox y sus poderes de sincronización para cargar un archivo de malware que después apareció en carpetas dentro de la red corporativa.

Escribió un archivo malicioso llamado DropSmack y lo utilizó para infectar un archivo que ya estaba en la carpeta de Dropbox del director. Cuando el director abrió el archivo más tarde, la herramienta DropSmack permitió el envío de comandos maliciosos dentro de la red corporativa a través de los archivos sincronizados con Dropbox, entre ellos comandos que permitían que los archivos pudieran ser robados. Más tarde, Williams repitió el ataque con otros servicios populares de sincronización de almacenamiento en nube.

Aunque no se conocen ataques producidos de esta forma, "imagino que alguien en algún lugar ha estado utilizándolo para ataques reales", afirma Williams. "Es casi imposible de detectar con las herramientas actuales, así que no lo sabemos [con seguridad]. Las herramientas de prevención de pérdida de datos lo tienen muy difícil con Dropbox y otros servicios similares. Realmente no pueden proteger estos servicios". Habló sobre sus ataques a servicios de almacenamiento en nube durante una charla en Black Hat a principios de este mes.

La semana pasada, varios investigadores fueron más allá y lograron descifrar el código que utiliza el cliente de Dropbox: el precursor de un ataque dirigido mismamente a Dropbox. "Diría que fue una tarea fácil. El código estaba protegido de una manera bastante simple", señaló Przemysław Węgrzyn, ingeniero de software en Codepainters, una empresa de seguridad en Wroclaw, Polonia, que coescribió un artículo hecho público en la conferencia de seguridad Usenix en Washington DC (EE.UU.). "Básicamente, si puedes realizar la ingeniería inversa, puedes ver cómo se comunica, ver todo lo relacionado con la comunicación, sobre qué tipo de seguridad tiene, y a qué nivel atacarlo".

Sin embargo, el mismo Węgrzyn minimizó la importancia, ya que no fue un ataque real con éxito a Dropbox y no dio lugar a pérdida de datos.