A estas alturas ya todos conocéis Dropbox, Box y demás servicios para guardar archivos. Todos tienen una característica muy útil, que es la de crear enlaces para compartir esos archivos con otras personas. Pues bien, Intralinks, una empresa dedicada también al almacenamiento en la nube, ha descubierto dos fallos de privacidad en la forma en la que se comparten esos enlaces.
El descubrimiento ha sido de pura casualidad. El equipo de Intralinks estaba viendo los resultados de una campaña de publicidad de AdWords, explorando para qué resultados de búsqueda aparecían sus anuncios. La sorpresa es que entre esos resultados se encontraban enlaces de archivos de Dropbox, algunos de ellos con información confidencial, como facturas, contratos o formularios de impuestos.
¿Cómo llegan esos enlaces hasta los anunciantes? La respuesta es fácil, y no es culpa de los servicios de almacenamiento. Si un usuario no tiene cuidado y en vez de acceder directamente a la URL en el navegador la pone en su motor de búsqueda (ya sabéis que hay mucha gente que piensa que Internet es Google), los anunciantes podrán verla sin problemas, y probablemente también los webmasters de las páginas que aparezcan en esos resultados.
Aquí la solución es educar a los usuarios para que o bien no anden pegando un enlace privado por ahí, o bien para que protejan esos archivos con algún tipo de contraseña. Pero el problema no acaba aquí, y es que Intralinks descubrió otro fallo relacionado con este.
Filtrando direcciones al hacer clic en enlaces
A muchos os sonará lo que es la cabecera referer. Es la forma que tiene el navegador de decirle a la página web que estás visitando de dónde vienes. Por ejemplo, si desde Genbeta hacéis clic en un enlace a Xataka, vuestro navegador le dirá a Xataka que venís desdehttp://www.genbeta.com.
Ahora bien, ¿qué pasa cuando el sitio desde donde venimos es privado? Lo que descubrieron los investigadores es que si haces clic en un enlace de un documento alojado en Dropbox, la página a la que navegues recibirá la URL del documento de Dropbox (o del servicio de almacenamiento que sea).
Es decir, que podrías estar desvelando a terceros tus documentos privados sólo con hacer clic en un enlace desde un documento alojado la web de tu servicio de almacenamiento. Es un problema de privacidad, y es sorprendente que hasta ahora no haya salido a la luz.
En el caso de Dropbox, ya han anunciado que han corregido el fallo y desactivado los enlaces vulnerables. No han comentado nada del otro «fallo», ni tampoco hay noticias de otras empresas de almacenamiento en la nube. En todo caso, ya sabéis: aunque no hace falta decir esto, tened cuidado con los enlaces a documentos confidenciales.