Login Probar gratis
Phishing por Dropbox: cómo usan archivos compartidos para engañarte

Phishing por Dropbox: cómo usan archivos compartidos para engañarte

por MataSpam Phishing y Estafas

Si recibes un email de Dropbox diciendo que alguien ha compartido un archivo contigo, párate un segundo antes de hacer clic. El phishing Dropbox es una de las técnicas de cloud phishing que más ha crecido, precisamente porque nadie sospecha de un servicio que usamos todos. El truco del archivo compartido falso funciona porque el correo parece legítimo: logo correcto, dominio que aparenta ser real y un botón tentador de "Ver documento". Detrás se esconde un Dropbox enlace malicioso que roba tus credenciales o te cuela malware. El phishing almacenamiento nube aprovecha tu confianza en marcas conocidas. Aquí te explicamos cómo lo montan, qué señales delatan el engaño y qué hacer si ya has picado.

Por qué los atacantes adoran Dropbox para hacer phishing

Dropbox tiene cientos de millones de usuarios. Esa escala lo convierte en cebo perfecto. Cuando ves un correo con su marca, tu cerebro baja la guardia automáticamente.

Hay un motivo técnico todavía más sucio. Los atacantes usan la infraestructura real de Dropbox para alojar sus trampas. Suben un PDF o un documento a una cuenta legítima y comparten el enlace. Ese enlace apunta a dropbox.com de verdad, así que los filtros antispam básicos lo dan por bueno.

El documento, eso sí, no es lo que parece. Suele contener otro enlace que te lleva a una página de login falsa. Es un cloud phishing en dos saltos: primero el dominio confiable, luego la trampa. Esta técnica de abusar de servicios legítimos para esquivar filtros se conoce como living off trusted sites, y plataformas como SendGrid, Google Drive o Microsoft SharePoint sufren el mismo abuso.

Cómo es un ataque de phishing Dropbox paso a paso

El archivo compartido falso sigue casi siempre el mismo guion. Conviene conocerlo para detectarlo a tiempo.

  1. El cebo. Llega un email: "Oriol ha compartido Factura_pendiente.pdf contigo". Urgencia y un nombre que reconoces.
  2. El enlace legítimo. El botón apunta a un enlace real de Dropbox. Aquí los filtros fallan, porque el dominio es auténtico.
  3. El documento trampa. Abres el archivo. Dentro hay un botón "Descargar" o "Ver online" que te saca de Dropbox.
  4. La página falsa. Aterrizas en un login clonado de Microsoft 365, Google o el propio Dropbox. Escribes tu contraseña y se la regalas al atacante.
  5. El robo. Con tus credenciales, acceden a tu correo, contactos y archivos. A veces incluso reenvían el mismo phishing a tu lista de contactos.

Variantes hay muchas. Algunas saltan el paso del documento y te llevan directo a la página falsa. Otras adjuntan un archivo con malware en lugar de robar credenciales. La lógica de robo de sesión que explicamos en cómo los atacantes roban tu sesión sin tu contraseña entra en juego cuando el objetivo es tu cookie de sesión y no la clave.

Señales de alerta de un Dropbox enlace malicioso

Ningún email es 100% fiable solo porque lleve un logo. Estas son las pistas que delatan un phishing almacenamiento nube:

  • Remitente raro. Mira la dirección completa, no el nombre. Dropbox envía desde @dropbox.com, no desde dropbox-secure-share.net ni dominios con guiones sospechosos.
  • Urgencia artificial. "Tu archivo caduca en 24 horas" o "acción requerida inmediata". La prisa es la herramienta favorita del estafador.
  • No esperabas nada. Si nadie te ha dicho que te iba a compartir un documento, desconfía.
  • Te piden login otra vez. Si ya tienes sesión iniciada en Dropbox, no debería pedirte la contraseña para ver un archivo compartido contigo.
  • Login que no es de Dropbox. Si el archivo te pide credenciales de Microsoft o Google, salta la alarma. ¿Por qué un PDF de Dropbox necesita tu cuenta de Office?
  • Faltas y traducciones torpes. Cada vez menos, gracias a la IA, pero todavía aparecen.

Pasa el ratón por encima del botón sin hacer clic. La URL real aparece abajo. Si no coincide con dropbox.com o te lleva a un dominio extraño, fuera.

Herramientas para verificar antes de picar

Cuando dudes, no adivines. Comprueba. Estas herramientas gratuitas te sacan de dudas en segundos.

Herramienta Para qué sirve
VirusTotal Pega la URL o sube el archivo. Lo analiza con decenas de motores antivirus.
Have I Been Pwned Comprueba si tu email ya apareció en alguna filtración. Si picaste antes, conviene saberlo.
urlscan.io Escanea una web sospechosa en un entorno aislado y te muestra a dónde redirige.
Google Safe Browsing Reporta y consulta si una URL ya está marcada como peligrosa.

Para entender cómo los expertos diseccionan archivos sospechosos en entornos controlados, échale un ojo a nuestro artículo sobre análisis de malware en sandbox. Y si el adjunto te genera dudas serias, mejor abrirlo en una máquina aislada que en tu portátil de trabajo.

Qué hacer si ya has picado

Respira. Pasa más de lo que crees y tiene solución si actúas rápido. Sigue este orden:

  1. Cambia la contraseña ya. Empieza por la cuenta comprometida. Si reutilizas esa clave en otros sitios (mal hecho), cámbiala en todos.
  2. Activa la verificación en dos pasos (2FA). En Dropbox, en tu correo y en todo lo importante. Aunque tengan tu clave, sin el segundo factor no entran.
  3. Revisa sesiones activas. En la configuración de seguridad, cierra todas las sesiones que no reconozcas.
  4. Mira las reglas de tu correo. Los atacantes suelen crear filtros que reenvían o borran mensajes para ocultarse. Bórralos.
  5. Avisa a tus contactos. Si han usado tu cuenta para reenviar el phishing, díselo antes de que pique alguien más.
  6. Denuncia. Reenvía el correo a abuse@dropbox.com y, en España, al INCIBE (017) o a la Policía Nacional.

Si gestionas un equipo, esto es más serio. Un solo empleado que pica puede abrir la puerta a toda la empresa. Formar a la plantilla con un simulacro de phishing reduce muchísimo el riesgo. La gente aprende cuando ve el engaño de cerca, no leyendo una circular.

Si el phishing afecta a datos personales de una empresa, entra en juego el Reglamento General de Protección de Datos (RGPD). El artículo 33 obliga a notificar una brecha de seguridad a la autoridad de control —en España, la AEPD— en un plazo de 72 horas desde que se detecta.

No es una recomendación, es ley. Ignorarla suma a la sanción por la propia brecha. Por eso documentar el incidente desde el minuto uno no es burocracia: es tu defensa. Las técnicas con motivación distinta al lucro, como las que vemos en el hacktivismo, también pueden derivar en brechas notificables.

Preguntas frecuentes

¿Cómo sé si un email de Dropbox es real?

Comprueba que el remitente termine en @dropbox.com y pasa el ratón sobre los enlaces para ver la URL real. En la duda, no hagas clic en el correo: entra directamente a dropbox.com desde tu navegador y mira si tienes archivos compartidos pendientes.

¿Dropbox puede contener malware aunque el enlace sea real?

Sí. Los atacantes suben archivos infectados a cuentas legítimas de Dropbox, así que el enlace apunta al dominio real pero el contenido es malicioso. Analiza siempre el archivo con VirusTotal antes de abrirlo si no lo esperabas.

¿Qué pasa si introduje mi contraseña en una página falsa?

Cámbiala de inmediato en la cuenta afectada y en cualquier otro sitio donde la reutilices. Activa la verificación en dos pasos y revisa las sesiones activas para cerrar accesos no reconocidos. Cuanto antes actúes, menos margen tiene el atacante.

¿Por qué un PDF de Dropbox me pide la contraseña de Microsoft?

Porque es phishing. Un documento compartido de forma legítima nunca te pide credenciales de un servicio distinto. Esa solicitud cruzada es una de las señales más claras de un archivo compartido falso.

¿Sirve de algo denunciar estos correos?

Sí. Reenviarlos a abuse@dropbox.com ayuda a tumbar las cuentas usadas para el ataque, y reportarlos a INCIBE o a la AEPD alimenta los registros de fraude. Cada denuncia reduce el alcance de la campaña para los demás.

El siguiente paso

Entra ahora mismo en la configuración de seguridad de tu cuenta de Dropbox y activa la verificación en dos pasos. Tarda dos minutos y convierte una contraseña robada en un problema mucho menor para el atacante. Si gestionas la seguridad de un negocio y quieres reforzar tu infraestructura digital, en Piqture trabajamos proyectos web con la seguridad como base.

phishing dropbox archivo compartido falso dropbox enlace malicioso cloud phishing phishing almacenamiento nube
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Smishing: cuidado con los SMS fraudulentos que suplantan a empresas
Phishing y Estafas

Smishing: cuidado con los SMS fraudulentos que suplantan a empresas

Phishing multietapa: ataques que combinan varias técnicas en cadena
Phishing y Estafas

Phishing multietapa: ataques que combinan varias técnicas en cadena

Browser-in-the-Browser: la técnica de phishing con ventanas falsas
Phishing y Estafas

Browser-in-the-Browser: la técnica de phishing con ventanas falsas

← Volver al blog