Detrás de escena: Descripción general de la arquitectura

Dropbox está diseñado con múltiples capas de protección, que incluyen la transferencia segura de datos, el cifrado, la configuración de red y los controles de nivel de aplicación distribuidos por toda una infraestructura segura y escalable.

Infraestructura de archivos

Los usuarios de Dropbox pueden acceder a los archivos y a las carpetas en cualquier momento a través de diversas interfaces, incluso el escritorio, Internet y dispositivos móviles, o bien a través de aplicaciones de terceros vinculadas a Dropbox. Cada una de ellas tiene configuraciones y características de seguridad que procesan y protegen los datos del usuario a la vez que garantizan la facilidad de acceso. Todos estos clientes se conectan a servidores seguros para ofrecer acceso a los archivos, permitir el uso compartido de archivos y actualizar los dispositivos vinculados cuando se agregan, modifican o eliminan archivos.

Infraestructura de archivos distribuida de Dropbox

Nuestra infraestructura de archivos consta de los siguientes componentes:

Servidores de bloques

Los servidores de bloques procesan las aplicaciones de Dropbox. Cada archivo se fragmenta en bloques, y cada uno de los bloques se encripta mediante un potente cifrado. Solo se sincronizan los bloques que se modificaron entre revisión y revisión. Cuando se realiza una modificación, los bloques nuevos o modificados se procesan y transfieren a los servidores de almacenamiento.

Servidores de metadatos

Se conserva información básica, denominada metadatos, de los datos del usuario (incluidos los tipos y nombres de archivo) en un servicio de almacenamiento exclusivo, separado de los bloques de archivos. Estos metadatos funcionan como índice de los datos de las cuentas de los usuarios. Se comparten y replican según sea necesario para cumplir con los requisitos de rendimiento y de alta disponibilidad.

Servidores de almacenamiento

El contenido de los archivos de los usuarios se almacena en bloques cifrados con este servicio. Cada bloque de archivo cifrado se recupera según el valor del hash y se proporciona una capa adicional de cifrado para todos los bloques en almacenamiento con un cifrado potente.

Servicio de notificaciones

Este es otro servicio separado, dedicado a supervisar si se realizaron modificaciones en cuentas de Dropbox. En este caso, no se almacenan ni transfieren datos ni metadatos. En su lugar, los clientes establecen una conexión de sondeo largo para este servicio y esperan la modificación, que luego advierte de un cambio a los clientes que corresponda.

Infraestructura de Dropbox Paper

Los usuarios de Dropbox pueden acceder a los documentos de Paper en cualquier momento a través del sitio web y de los clientes para escritorio y dispositivos móviles, o bien a través de aplicaciones de terceros vinculadas a la aplicación de Dropbox Paper. Todos estos clientes se conectan a servidores seguros para ofrecer acceso a los documentos de Paper, permitir el uso compartido de documentos y actualizar los dispositivos vinculados cuando se agregan, modifican o eliminan archivos.

Infraestructura de archivos distribuida de Dropbox Paper

La infraestructura de Dropbox Paper consta de los siguientes componentes:

Servidores de aplicaciones de Paper

Los servidores de aplicaciones de Paper procesan las solicitudes de los usuarios, representan los documentos de Paper editados para que puedan verlos los usuarios y ejecutan los servicios de notificaciones. Estos servidores escriben las modificaciones de los usuarios en las bases de datos de Paper, donde se guardan en almacenamiento persistente. Las sesiones de comunicación entre los servidores de aplicaciones y las bases de datos de Paper se encriptan mediante un potente cifrado.

Servidores de imágenes de Paper

Las imágenes cargadas a documentos de Paper se almacenan y se encriptan en los servidores de imágenes de Paper. La transmisión de datos de imágenes entre los servidores de imágenes y de aplicaciones de Paper se realiza mediante una sesión encriptada.

Bases de datos de Paper

El contenido de los documentos de Paper de los usuarios, además de algunos metadatos relacionados con estos documentos, se encripta en un almacenamiento persistente en las bases de datos de Paper. Esto incluye información acerca de los documentos de Paper (por ejemplo, el título, los permisos y la membresía compartida, las asociaciones de carpetas y proyectos, y otros datos), además del contenido del documento mismo, incluso los comentarios y las tareas. Las bases de datos de Paper se comparten y se replican según sea necesario para cumplir con los requisitos de rendimiento y de alta disponibilidad.

Servicio de proxy de imágenes de Paper

El servicio de proxy de imágenes de Paper ofrece vistas previas de imágenes cargadas y de hipervínculos incorporados en documentos de Paper. En el caso de las imágenes cargadas, el servicio utiliza datos almacenados en los servidores de imágenes de Paper mediante un canal encriptado. Con respecto a los hipervínculos incorporados, el servicio usa los datos y representa una vista previa a través de HTTP o HTTPS según se especificado en el vínculo de origen.

 

Tanto los equipos de seguridad interna como los especialistas en seguridad de terceros protegen estos servicios a través de la identificación y mitigación de riesgos y vulnerabilidades. Estos grupos llevan a cabo pruebas y auditorías regulares en la aplicación, la red y otros tipos de pruebas para garantizar la seguridad de nuestra red de datos back-end. Además, nuestra política de divulgación responsable fomenta la detección y el informe de vulnerabilidades de seguridad.

Centros de datos

Los sistemas corporativos y de producción de Dropbox están alojados en centros de datos de organizaciones de subservicios de terceros y son administrados por proveedores de servicios que residen en los Estados Unidos. Estos proveedores de servicios de terceros son responsables de los controles de seguridad físicos, ambientales y operativos en los límites de la infraestructura de Dropbox. Dropbox es responsable de la seguridad lógica, de red y de la aplicación de nuestra infraestructura alojada en los centros de datos de terceros.

Cifrado

Los archivos de Dropbox y los documentos de Dropbox Paper en almacenamiento se encriptan con un cifrado de 256 bits a través del estándar de cifrado avanzado (AES). Para proteger los datos en tránsito entre las aplicaciones de Dropbox (actualmente, para escritorio, dispositivos móviles, API o el sitio web) y nuestros servidores, Dropbox aplica el protocolo de capa de sockets seguros (SSL)/seguridad de la capa de transporte (TLS) para la transferencia de datos, lo que crea un túnel seguro protegido por el estándar de cifrado avanzado (AES) de 128 bits o superior. De forma similar, los datos en transferencia entre un cliente de Paper (dispositivo móvil, API o sitio web) y los servicios alojados se encriptan mediante SSL/TLS.

Fijación de certificados

Dropbox usa "Certificate pinning" en nuestros clientes para escritorio y dispositivos móviles. Certificate pinning es un control adicional para asegurar que el servicio al que te conectas sea realmente quien dice ser y no un impostor. Lo usamos para protegerte contra otras formas en que los piratas informáticos más experimentados pudieran intentar controlar tu actividad.

Confidencialidad directa total

Para los puntos de extremo que nosotros controlamos (escritorio y dispositivos móviles) y los exploradores modernos, usamos cifrados potentes y admitimos confidencialidad directa total. Implementamos la confidencialidad directa total de modo que nuestra clave privada de SSL no se pueda utilizar para descifrar tráfico de Internet del pasado. Esto agrega una capa de protección a las comunicaciones cifradas con Dropbox, en especial, al desvincular cada sesión de las anteriores. Además, en el sitio web marcamos todas las cookies de autenticación como seguras y habilitamos la seguridad de transporte HTTP estricta (HSTS).

Administración de claves

La infraestructura de administración de claves de Dropbox está diseñada con controles de seguridad operativa, técnica y de procedimientos con un acceso directo a las claves muy limitado. La generación de claves de cifrado, el intercambio y el almacenamiento se distribuyen para permitir el procesamiento descentralizado.

 

Dropbox administra el cifrado de archivos en nombre de los usuarios para eliminar la complejidad, admitir características avanzadas del producto y brindar un control criptográfico sólido. El cifrado de archivos está protegido mediante políticas de seguridad y controles de seguridad de la infraestructura del sistema de producción. El acceso a sistemas de producción está restringido con pares de claves SSH únicas y los procedimientos y las políticas de seguridad requieren la protección de claves SSH. Un sistema interno administra el proceso de intercambio seguro de claves públicas, y las claves privadas se almacenan de forma segura.

Para obtener más información acerca de nuestras características de control y visibilidad, consulta nuestra documentación sobre seguridad de Dropbox Business.