Los servicios de almacenamiento e intercambio en la nube, como por ejemplo Dropbox y Box contienen grandes volúmenes de datos empresariales, lo que indudablemente atrae el interés de los delincuentes. A pesar de ello, no han tenido mayores incidencias, por lo que su sistema de protección de los datos de los usuarios puede ser considerado exitoso. Sin embargo, aunque su infraestructura está fuertemente resguardada, el punto débil del sistema radica en los clientes locales a través de los cuales los usuarios sincronizan sus datos.
En la última en la conferencia de seguridad Black Hat realizada en Estados Unidos la empresa Imperva presentó un informe sobre una herramienta que interviene el mecanismo de sincronización de archivos, habilitando el acceso a los documentos almacenados en los contenedores remotos. La vulnerabilidad se basa en la forma en que los servicios verifican los cambios de los archivos, con el fin de sincronizarlos a través de los distintos dispositivos.
Dropbox, Box y la mayoría de los proveedores asignan una clave criptográfica al dispositivo conectado, que se mantiene activa durante la sesión e impide interceptarla. Cada vez que el sistema sincroniza nuevos archivos o actualizaciones de estos, la clave es verificada para confirmar la fuente de los cambios.
De acuerdo al informe de Imperva, el problema radica en que los proveedores permiten que las claves sean compartidas entre distintos dispositivos, con el fin de acomodarse a las nuevas plataformas en que los usuarios trabajan. Esto implica que para el intruso sólo es necesario hacerse de una copia de las credenciales.
Imperva señaló que una intrusión exitosa requiere cambiar la configuración de la computadora interceptada, lo que puede ser posible mediante tácticas de ingeniería social, como por ejemplo la instalación de una extensión maligna en el navegador.
Cuando el intruso ha obtenido la clave de verificación, es posible intervenir el mecanismo de sincronización con el fin desviar los archivos a una carpeta controlada por el intruso, o inyectar código maligno en los documentos para infectar los dispositivos del usuario. Este elemento es especialmente preocupante al considerar que el malware puede ser simplemente borrado después de una intrusión exitosa, lo que dificulta la identificación de la fuente.
El elemento más preocupante, según Imperva, es que la clave no es alterada al cambiar la contraseña, lo que implica que el exploit desvirtúa uno de los principales mecanismos de defensa con que cuentan los usuarios. Hasta el momento los operadores de Box, Dropbox, OneDrive y Google Drive no han hecho declaraciones.
