Dropbox es un servicio de almacenamiento de información en la nube que le permite a millones de usuarios, compartir cualquier tipo de archivos, entre los que se pueden encontrar alguno que contengan información sensible o importante. Un problema que existe es que, si no se configura correctamente este servicio, es posible que usando ciertas búsquedas en Google se puedan encontrar archivos compartidos. Cuando se comparte un archivo, se genera un enlace aleatorio, pero si bien es aleatorio, para los motores de Google no son imposibles de encontrar, basta con una simple búsqueda para poder encontrar información muy sensible.
Una vez que se sube la información a este servicio, existe la posibilidad de compartir estos archivos. Al ingresar a las opciones para compartir, hay dos formas de hacerlo: la primera es enviar el link por mail a los contactos que nosotros queramos; mientras que la otra forma de compartir es copiando el link generado en el portapapeles.
Estos links son generados dentro de dos directorios que posee el sitio (uno es dropbox.com/s y el otro dropbox.com/sh), ambos inaccesibles desde el navegador. Pero sí es posible ver estos directorios desde el archivo robots de Dropbox
Al realizar una búsqueda con determinados parámetros, se encontraron 1.420.000 de links con información compartida, entre los que se incluyen desde archivos de música hasta información sensible y confidencial. A estas búsquedas es posible agregarle el tipo de archivo como criterio de búsqueda, como por ejemplo el formato PDF.
Buscando con estos parámetros, en menos de medio segundo se encontraron 161.000 archivos con extensión pdf. Es importante destacar que muchos de estos links encontrados, ya no poseen los archivos dentro, esto podría ser porque el contenido sigue indexado, pero en realidad ya fue eliminado.
Una manera de poder resolver esta cuestión es aprovechando que Dropbox dispone de una funcionalidad llamada “Quitar vínculo” y, una vez seguros que lo compartido ya se encuentra en manos del destinatario, eliminar el link generado por Dropbox, para evitar que alguien más acceda a la información compartida.
Para eliminar el link, hay que acceder desde Dropbox al archivo compartido, y luego ingresar en el símbolo de eslabones tal como se muestra a continuación:
Una vez que hecho esto, aparecerá una ventana donde se puede ver el contenido del archivo. En la parte superior figuran los botones “Compartir”, “Descargar” y un botón con tres puntos. En este último botón es donde se debe hacer clic.
Tal como se muestra en la imagen, al hacer clic en el botón con tres puntos, se despliega un menú donde aparece la opción “Quitar vínculo”, que es opción se debe seleccionar para quitar el vínculo del archivo compartido. Una vez seleccionada, tal como se muestra en la siguiente imagen, nos pregunta si estamos seguros de quitar este link, ya que una vez eliminado, el archivo dejará de ser visible:
Desde el Laboratorio de Investigación de ESET Latinoamérica, aconsejamos darle suma importancia a esta opción que brinda la plataforma ya que de no eliminar el link una vez usado, y mientras el archivo se encuentre en el perfil de Dropbox, se podría sufrir el robo de información muy sensible, como documentos confidenciales, material explicito, archivos como base de datos, entre otros. Asimismo, toda esta información podría usarse con fines extorsivos, para realizar un ataque dirigido de Ingeniería Social, e incluso hasta se podría perder información bancaria.
