Os hemos hablado en alguna ocasión del excelente servicio de sincronización Dropbox. Ya sabéis, sincronización de carpetas entre varios ordenadores, con 2Gb de almacenamiento gratuitos (con posibilidad de ampliar tanto invitando gente al servicio como pagando), multiplataforma y con aplicaciones para plataformas móviles…
Y se recalcó en múltiples ocasiones la excelente seguridad que parece que posee el servicio, cifrando los archivos con AES-256. Tendremos que ponerlo en entredicho: parece que Dropbox sigue teniendo la posibilidad de acceder a tus archivos, por mucho que ellos los cifren.
Dropbox utiliza una técnica bastante ingeniosa para ahorrarse (y ahorrarnos) ancho de banda (sobre todo cuando el de subida, para nosotros, escasea). Calcula sumas de verificación para cada archivo y, si el archivo ya está almacenado en su servicio, no lo sube. Así de simple.
El problema radica en que, para poder conocer los hashes de los archivos (y sobre todo para compararlos con los demás) Dropbox puede necesitar descrifrar los datos. Y eso implica que Dropbox podría tener herramientas para descifrar los archivos, por muy (supuestamente) protegidos que estén.
La gracia está en que Dropbox ahora declara que tiene la habilidad de descifrar (y entregar a las autoridades) los datos de un usuario bajo mandato judicial. Algo lógico por una parte pero escalofriante si tenemos en cuenta que, si pueden hacerlo bajo mandato judicial, pueden hacerlo cuando quieran (legalidades aparte). Tienen herramientas para ello, según nos cuentan en slight paranoia. Y quien dice ellos puede añadir a la ecuación a algún avispado atacante con malas intenciones.
Es un poco preocupante, sin duda, pero quizá debamos tener la confianza en que no accederán a nuestros datos sin mandato judicial (aunque puedan hacerlo) a cambio de contar con un servicio casi inmejorable. Eso queda a criterio de cada cual. Una posible solución es cifrar los archivos en local y luego subirlos a Dropbox, eso sí.
Via | XatakaOn