Entre bastidores:
Descripción de la arquitectura


Dropbox se ha diseñado con varias capas de protección: transferencia de datos segura, cifrado, configuración de red y controles a nivel de aplicación, todo ello distribuido en una infraestructura segura y ampliable.

Infraestructura de archivos

Los usuarios de Dropbox pueden acceder a archivos y carpetas en cualquier momento desde distintas interfaces, como el escritorio, el sitio web y los clientes para móviles, o bien mediante aplicaciones de terceros vinculadas a Dropbox. Cada una de ellas tiene funciones y configuraciones de seguridad que procesan y protegen los datos de los usuarios a la vez que garantizan la facilidad de acceso. Todos estos clientes se conectan a servidores seguros para proporcionar acceso a archivos, permiten compartir archivos con otros usuarios y actualizan los dispositivos vinculados cuando se añaden, modifican o eliminan archivos.

Arquitectura y cifrado en Dropbox

Nuestra arquitectura de archivos consta de los siguientes componentes:

Servidores de bloques

Los servidores de bloques procesan los archivos de las aplicaciones de Dropbox dividiendo cada archivo en bloques, cifrando cada bloque mediante un sistema de cifrado reforzado y sincronizando solo los bloques que se han modificado entre revisiones. Cuando se produce un cambio, los bloques nuevos o modificados se procesan y transfieren a los servidores de almacenamiento.

Servidores de almacenamiento

El contenido en sí de los archivos de los usuarios se almacena en bloques cifrados mediante este servicio. Cada bloque individual cifrado de archivos se recupera en función de su valor hash, y se añade una capa adicional de codificación a todos los bloques de archivos en pausa mediante un cifrado potente.

Servidores de metadatos

La información básica acerca de los datos del usuario (como nombres y tipos de archivos), denominada metadatos, se guarda en un servicio de almacenamiento distinto al de los bloques de archivos. Estos metadatos funcionan como índice de datos en las cuentas de los usuarios, y se dividen y replican según sea necesario para cumplir con los requisitos de disponibilidad total y rendimiento.

Servicio de notificaciones

Este es un servicio independiente dedicado a controlar si se producen cambios en las cuentas de Dropbox. En este servicio no se almacenan ni se transfieren metadatos ni datos de archivos. En cambio, los clientes establecen una conexión de sondeo larga con este servicio y esperan a que se realice un cambio, que luego indica el cambio en los clientes relevantes.

Infraestructura de Dropbox Paper

Los usuarios de Dropbox pueden acceder a documentos de Paper en cualquier momento desde el sitio web y los clientes para dispositivos móviles, o bien mediante aplicaciones de terceros vinculadas a la aplicación de Dropbox Paper. Todos estos clientes se conectan a servidores seguros para proporcionar acceso a documentos de Paper, permiten compartir archivos con otros usuarios y actualizan los dispositivos vinculados cuando se añaden, modifican o eliminan documentos.

Arquitectura y cifrado de Dropbox Paper en Dropbox

La arquitectura de Dropbox Paper consta de los siguientes componentes:

Servidores de aplicaciones de Paper

Los servidores de aplicaciones de Paper procesan solicitudes de usuarios, representan el resultado de los documentos de Paper editados para el usuario y realizan servicios de notificación. Los servidores de aplicaciones de Paper escriben las modificaciones de los usuarios en las bases de datos de Paper, donde se conservan en un almacenamiento persistente. Las sesiones de comunicación entre los servidores de aplicaciones de Paper y las bases de datos de Paper se cifran con un sistema de cifrado reforzado.

Bases de datos de Paper

El contenido real de los documentos de Paper de los usuarios, así como determinados metadatos acerca de estos documentos de Paper, se cifran en un almacenamiento persistente en las bases de datos de Paper. Esto incluye información acerca de un documento de Paper (como el título, la pertenencia compartida y los permisos, las asociaciones de proyectos y carpetas, y otra información), así como contenido incluido dentro del documento de Paper en sí, incluyendo los comentarios y las tareas. Las bases de datos de Paper se dividen y replican según sea necesario para cumplir con los requisitos de disponibilidad total y rendimiento.

Servidores de imágenes de Paper

Las imágenes que se suben a los documentos de Paper se almacenan y cifran almacenadas en los servidores de imágenes de Paper. La transmisión de datos de imagen entre la aplicación de Paper y los servidores de imágenes de Paper se produce a lo largo de una sesión cifrada.

Servicio de proxy de imágenes de Paper

El servicio de proxy de imágenes de Paper proporciona vistas previas de las imágenes subidas a los documentos de Paper e hipervínculos incrustados dentro de los documentos de Paper. Para las imágenes subidas, el servicio obtiene los datos almacenados en los servidores de imágenes de Paper mediante un canal cifrado. Para los hipervínculos incrustados, el servicio obtiene los datos y representa una vista previa mediante HTTP o HTTPS, según se especifique en el enlace de origen.

Tanto los equipos de seguridad internos como los especialistas en seguridad externos protegen estos servicios mediante la identificación y atenuación de riesgos y vulnerabilidades. Estos grupos llevan a cabo pruebas periódicas de la seguridad de aplicaciones, de red y de otros elementos para garantizar la seguridad de nuestra red de servicios. Además, nuestra política de divulgación responsable fomenta la identificación y la comunicación de vulnerabilidades de seguridad.


Centros de datos

Los sistemas corporativos y de producción de Dropbox están alojados en centros de datos de subservicios de terceros y proveedores de servicios gestionados situados en los Estados Unidos. Estos proveedores externos son responsables de los controles de seguridad físicos, de entorno y operativos en los límites de la infraestructura de Dropbox. Dropbox es responsable de la seguridad lógica, de red y de aplicaciones de la infraestructura alojada en los centros de datos de terceros.

Cifrado

Los archivos de Dropbox y los documentos de Dropbox Paper almacenados se cifran mediante el estándar Advanced Encryption Standard (AES) de 256 bits. Para proteger los datos en tránsito entre las aplicaciones de Dropbox (actualmente para escritorio, móviles, API o web) y nuestros servidores, Dropbox emplea las tecnologías Secure Sockets Layer (SSL)/Transport Layer Security (TLS) para la transferencia de datos, creando un túnel seguro protegido por un cifrado con Advanced Encryption Standard (AES) de 128 bits o superior. De manera similar, los datos en tránsito entre un cliente de Paper (para dispositivos móviles, API o web) y los servicios alojados siempre están cifrados mediante SSL/TLS.

Comprobación de certificado

Dropbox comprueba el certificado en nuestros clientes para escritorio y para móviles. La comprobación de certificado es una verificación adicional para garantizar la identidad real del servicio al que te estás conectando y evitar impostores. Lo utilizamos para protegernos ante cualquier método que puedan utilizar los hackers para espiar tu actividad.

Confidencialidad directa total

En los puntos de destino que controlamos (escritorio y dispositivos móviles) y los navegadores actuales, usamos un cifrado sólido compatible con mecanismos de confidencialidad directa total ("perfect forward secrecy"). Hemos implementado mecanismos de confidencialidad directa total para que no se pueda usar nuestra clave SSL privada para descifrar el tráfico de Internet. Esto añade una capa de protección adicional a las comunicaciones cifradas con Dropbox pues desconecta cada sesión de las anteriores. Además, en el sitio web identificamos todas las cookies de autenticación como seguras y habilitamos la tecnología HTTP Strict Transport Security (HSTS).

Administración de claves

La infraestructura de administración de claves de Dropbox está diseñada con controles de seguridad operativos, técnicos y de procedimientos, con acceso muy limitado a las claves. La generación, el intercambio y el almacenamiento de las claves de cifrado se distribuyen para que el procesamiento esté descentralizado.

Dropbox administra el cifrado de archivos en nombre de los usuarios para reducir la complejidad, permitir funciones avanzadas de los productos y habilitar un control de cifrado sólido. El cifrado de los archivos está protegido mediante políticas de seguridad y controles de seguridad de infraestructura del sistema de producción. El acceso a los sistemas de producción está restringido a pares de claves únicas SSH. Las políticas y procedimientos de seguridad requieren la protección de claves SSH. Un sistema interno gestiona el proceso seguro de intercambio de claves públicas, y las claves privadas se almacenan de forma segura.

Consulta más información acerca de nuestra arquitectura de seguridad en el informe de seguridad de Dropbox Business.