Google Drive o Dropbox en la empresa. Peligro de distribución de archivos.

Shares

Usar Google Drive o Dropbox en la empresa pueden provocar un grave problema de distribución de los archivos. La información de la empresa puede quedar a disposición de cualquiera y además se vulneran leyes de protección de datos.

Se puede hacer un mal de manera intencionada o inconsciente. La mayoría de empresas que se han lanzado a usar Google Drive o Dropbox, pueden hacer un mal a sus clientes de forma inconsciente o irreflexiva, explicamos el porqué.

Con la crisis ocasionada por el Coronavirus son muchas las empresas que se están viendo forzadas a implementar rápidamente el teletrabajo para poder dar continuidad a su actividad y a la nueva situación que se presenta.

La distribución de archivos con Drive o Dropbox

Entendemos que lo más conocido a nivel mundial son aplicaciones como Google Drive y Dropbox, y por ello, es probable que sea lo primero que venga a la mente cuando en situaciones como la actual pandemia, necesitemos acceder y trabajar con los documentos de la empresa desde casa u otro lugar.

No debemos olvidar que en la empresa existen muchos documentos con datos privados y sensibles. En todos los casos hay datos de clientes, presupuestos, números de cuentas, datos de empleados, contratos, facturas, información de contabilidad, etc.

Todos estos archivos se pueden estar distribuyendo de forma inconsciente por dos motivos:

  • El mecanismo de sincronización de estos discos virtuales.
  • El mal uso de los enlaces públicos a los ficheros.
Distribucion de archivos de forma insegura

La sincronización como modus operandi.

El uso de la sincronización a nivel particular, es muy útil y práctico, pero su utilización en la empresa tiene varios inconvenientes.

En la actualidad, muchas personas están realizando trabajo remoto desde casa o teletrabajo. Pues bien, cuando los empleados se conectan y en muchos casos lo hacen con sus portátiles propios, abren su cuenta de Drive o Dropbox, y automáticamente se sincronizan todos los archivos en cada uno de los dispositivos.

Distribucion de archivos con la sincronizacion
Distribución de archivos en múltiples dispositivos gracias a la sincronización.

Esto significa que si la empresa tiene 10 empleados que se conectan a estos discos virtuales, los archivos de la compañía se verán repartidos por todos los dispositivos desde los que sus empleados se conecten.

Es decir, que si cada empleado, se conecta desde su portátil un día, desde la tablet en otra ocasión y desde el móvil en otro momento, los archivos de tu empresa estarán copiados al menos en 30 dispositivos distintos de los cuales ninguno pertenece a la empresa, por lo que no puede tener control sobre ellos de esta manera.

¿Qué es lo que ocurre con esto?

Independientemente de que a la empresa le importe un pimiento el cumplimiento RGPD y las sanciones que conlleva.

El problema es que todos esos ordenadores y dispositivos llevan copias de los archivos de la empresa que está repartiendo datos confidenciales en dispositivos que no tienen seguridad. Esos ficheros son accesibles por prácticamente cualquiera.

Yo, desde luego, si fuera cliente de esa empresa no estaría muy feliz sabiendo que mis datos andan por cualquier lugar, un contrato, un presupuesto e incluso mi número de cuenta bancaria, cosa buscada por los hackers, están en múltiples lugares que incluso la empresa desconoce.

Si fuera el empresario, tampoco estaría muy tranquilo repartiendo datos de mi actividad, mis clientes y cualquier cosa guardada en Drive o Dropbox.

Además, otro problema de la sincronización es que propaga el efecto de los virus ransomware o cryptolocker.

Compartir archivos mediante enlaces públicos.

Compartir documentos mediante enlaces es muy cómodo y práctico pero ¿como que públicos?.

Como su nombre indica si algo es público significa que todos pueden tener acceso a la cosa en cuestión, en este caso a un documento.

Como todos sabemos, es bastante fácil enviar un enlace a alguien. Basta con copiar y pegar, ¿verdad?. Pues seguramente sea esto lo que nos ha conquistado, la facilidad, pero hay que pararse un segundo a pensar si el documento que estamos enviando puede comprometer a algo o alguien si se convierte en público, ¿no creen?

Aquí va una demostración:

Esto es un documento compartido a modo de ejemplo mediante enlace público y como podréis comprobar, cualquiera puede ver el archivo en cuestión.

Hay miles de ellos en la red, por cuestiones obvias no los podemos publicar.

Documentos enlace publico Dropbox Drive sin seguridad

Si lo que se envía es un fichero sin relevancia, vale, pero al hablar de empresas y los documentos que manejan, la cosa cambia, pues siempre hay datos personales, confidenciales o sensibles que proteger.

Ejemplo real de distribución de archivos en inmobiliaria.

Miguel quiere comprar una vivienda. La inmobiliaria se encarga de todos los trámites, entre ellos el de acudir a varios bancos para solicitar la hipoteca. Miguel ha solicitado a su banco documentos que justifican sus ingresos y rentas. Esta es una información fundamental, privada y necesaria a la hora de solicitar un préstamo o hipoteca.

La inmobiliaria está utilizando Dropbox para almacenar y compartir los archivos.

Cuando todos los empleados de la inmobiliaria se conectan a esa cuenta de Dropbox, sincronizan los archivos en sus dispositivos, multiplicando la presencia de esos documentos en multitud de lugares sin seguridad ni control.

Si el señor de la inmobiliaria tiene tres ordenadores entonces los documentos terminarán triplicados, y si este señor tiene 4 compañeros, entonces quizás los documentos estén copiados en 12 lugares diferentes.

¿Puede el señor de la inmobiliaria garantizar la seguridad de acceso a documentos confidenciales en 12 lugares diferentes? la respuesta es claramente NO.

Si además este señor, le presta un día su portátil a su hijo, él podrá mirar con total tranquilidad los documentos privados de todos los clientes de la inmobiliaria o si comparte los documentos mediante enlaces públicos, cualquier curioso puede encontrarlo y utilizarlo para fines no deseados.

Cuidado con las recomendaciones que se están haciendo.

Esto lo comentamos porque a veces confiamos en las autoridades pensando que ellos solo quieren lo mejor para nosotros (los ciudadanos), y que velan por nuestra seguridad y bienestar lo cual no siempre es cierto.

Mientras unos indicaban tomar detergente o lejía, vemos como una entidad pública de Andalucía (Andalucía Compromiso Digital) recomienda en su blog el uso de Drive para Teletrabajo sin advertir nada de lo que explicamos. Es más grave aún, porque dependiendo de una institución, además no mencionan RGPD por ningún sitio y no publican ni responden a los comentarios del Blog.

Por una lado tenemos personas que han advertido sobre el tema.

En este artículo no abordamos la polémica de la diferencia entre RGPD (Reglamento General de Protección de Datos) y el pretendido equivalente Privacy Shield, esto ya lo comentamos en otro artículo del Blog.

Shares

4 comentarios

  1. Creo interesante hasta cierto punto tu publicación, sin embargo, recordemos que la mayoría de empresas que valoran su información no utilizan versiones gratuita, siempre habrá versiones empresariales que tengan control de doble factor de autenticación, administración centralizada y protección de datos.

    Tal es el caso de Dropbox business, está solución permite que los archivos se rompan en bloques y da la seguridad que si un bloque llegara a ser hackeado no hay forma de leerlo o sacar información ya que no tiene el complemento restante para que la información esté visible.

    Lo mismo pasa con las versiones de Microsoft 365, al compartir información mediante ligas de one drive o bien dar acceso a sus sitios de Sherepoint.

    Creo que tú información es un parte aguas para que los usuarios busquen versiones de suscripción que garanticen mayor protección a su información y a la empresa.

  2. Al ver el comentario de Manuel Nava. Creo que lo básico no se ha entendido. Puedes usar Dropbox Business o cualquir otra plataforma. El cifrado de almacenamiento en servidor puedes tenerlo, pero no se trata de eso. Es fácil, cuando sincronizas tienes copias de los archivos de la Nube (cifrados) en tu ordenador (no cifrados). Los ficheros de tu ordenador no están cifrados, da igual la Nube, tu ordenador no tiene las mismas medidas de seguridad. Todos los que se coenctan a tu cuenta Dropbox business no tienen cifrado de esos archivos en sus ordenadores. Si tu tienes un fichero Excel con tus clientes y números de cuentas bancarias, lo que hace Dropbox será cifrarlo en su almacenamiento, los 6 usuarios que están conectados a tu cuenta de Dropbox, tendrán copias en sus ordenadores ¡Lo ves! Con un sistema que no sincroniza no tendrás ese problema. Es imposible cumplir RGPD cuando hay muchas copias de un ficheros en muchos ordenadores porque esos alamacenamientos particulares no pueden garantizar la seguridad.
    PDTA: Da igual la versión bussines, no cumplen leyes europeas, venden datos: https://elpais.com/tecnologia/2020-03-30/muchas-aplicaciones-recopilan-y-venden-salvajemente-nuestros-datos-aprovechando-el-coronavirus.html

Deja un comentario