viernes, noviembre 15, 2024
AVA Resorts
Irtra
Walmart
MAD-HAV Enjoy Travel Group
Mónica Eventos y Bodas
Grupo Hotelero Islazul
Cuba Energy Summit
Realidad Turística
Agexport
Mónica Eventos y Bodas
Intecap
Barceló Solymar
AVA Resorts
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Cuba Energy Summit
Cervecería Centroamericana S.A.
CUN-HAV Enjoy Travel Group
Los Portales
Herbalife
blackanddecker
Walmart
MITM Events
Irtra
Servicios Médicos Cubanos
Grupo Hotelero Islazul
MuniGuate
Instituto Hondureño de Turismo
MAD-HAV Enjoy Travel Group
Nestle
Irtra
INOR
Realidad Turística

Se filtran millones de códigos de seguridad 2FA de Google, WhatsApp, Facebook y TikTok

Millones de códigos de seguridad de doble factor de autenticación (2FA) de Google, WhatsApp, Facebook y TikTok fueron filtrados debido a que una base de datos de la empresa YX Internacional, con registros mensuales que datan de julio de 2023, se encontraba desprotegida a pesar de estar conectada a internet, según informó el investigador de seguridad Anurag Sen. ESET, compañía líder en detección proactiva de amenazas, explica que cualquier persona que conociese la dirección IP podía acceder a la base de datos sin más herramienta que un navegador web.

El sitio TechCrunch informó que YX Internacional -empresa asiática que proporciona enrutamiento de 5 millones de mensajes de texto SMS por día- había sido la víctima de la filtración de enlaces para restablecer contraseñas y códigos 2FA de Google, WhatsApp, Facebook y TikTok, como también de cuentas de correo electrónico y contraseñas internas de la propia compañía. En pocas palabras, el enrutamiento de SMS es el que ayuda a enviar mensajes de texto a su destino adecuado valiéndose de redes celulares y proveedores regionales. Así es como un usuario recibe un código de seguridad SMS o un enlace para poder iniciar sesión en alguna de sus cuentas o servicios online.

”Son muchas las empresas que están trasladando sus servidores de producción a la nube, pero lamentablemente no cuentan con la autenticación y el cifrado básicos”, afirmó Sen a Forbes. “La base de datos expuesta demuestra que el método para almacenar y procesar 2FA debería ser mucho más sólido y seguro”, agregó.

Nota: El doble factor de autenticación o 2FA además de requerir un nombre de usuario y contraseña, solicita el ingreso de un segundo factor, que podría ser un código de seguridad o un dato biométrico, para que la autenticación sea exitosa.

¿Representa un riesgo para los usuarios esta filtración de datos?

La respuesta rápida puede ser “no”, aunque siempre es bueno un doble clic: si bien un código 2FA tiene una vida útil muy corta y caduca rápidamente, un ciberatacante podría sacar provecho si monitoreara la base de datos y las acciones de una víctima u objetivo.

Jake Moore, especialista en ciberseguridad de ESET, asegura al respecto: “Las contraseñas de un solo uso a través de SMS son una opción segura si se compara con una única contraseña. Ahora bien, las amenazas tienen múltiples capas, por lo que las cuentas necesitan una protección que también sea multicapa para mantenerse seguras”.

Para ESET, si bien es cierto que los usuarios y usuarias no deben preocuparse de más porque haya códigos 2FA en la base de datos filtrada, pero sí debe ser una invitación a explorar otras medidas de seguridad disponibles. Así lo explica Moore: “Los mensajes de texto utilizan tecnología obsoleta, y una muy buena práctica en seguridad es estar al día con las últimas novedades en protección de cuentas”.

Más allá del bajo riesgo, YX International aseguró que la vulnerabilidad ya se encuentra sellada.

En este contexto, ESET comparte algunos aspectos clave que se deben considerar luego de recibir una notificación sobre una violación de datos:

Mantener la calma y leer la notificación atentamente: Leer los detalles del incidente hasta que tengan sentido y comprender qué fue robado y qué implica esto. También vale la pena guardar el correo con la notificación en caso de que se necesite demostrar en un futuro que la filtración fue responsabilidad de un tercero.

Asegurarse de que la notificación sea realmente legítima: Una campaña de phishing puede buscar captar la atención de los usuarios alegando que sus datos han sido involucrados en una filtración para que hagan clic en un enlace malicioso o que divulguen información personal. Por eso, lo primero que se debe hacer ante un mensaje de este tipo es contactar directamente con la organización o servicio que sufrió la brecha, ya sea por su sitio web oficial o las redes sociales. Si se trata de una estafa, repórtelo y/o elimine el mensaje.

Tener la guardia alta ante posibles fraudes: Es probable que los actores maliciosos responsables de la brecha lo primero que intenten hacer con sus datos personales sea venderlos en foros clandestinos dentro de la dark web. Por esa razón, se debe estar atento a cualquier correo o mensaje de apariencia legítima que llegue luego de una violación de datos.

Cambiar la(s) contraseña(s): Incluso si tus inicios de sesión no se han visto comprometidos en la brecha, actualizar las contraseñas puede ser una buena idea para ganar tranquilidad. Y también cambiar las contraseñas de cualquier otra cuenta en la que utilice la misma clave para el inicio de sesión.

Revisar las cuentas bancarias y otras cuentas en línea: Si la notificación advierte que los datos de inicios de sesión han sido robados, y se utilizan los mismos para otras cuentas, cambiarlos de inmediato. También vale la pena revisar las cuentas bancarias por cualquier actividad sospechosa.

Cancelar o congelar las tarjetas: Ante la notificación de una brecha grave que involucra información financiera, es evidente que se debe informar al banco de inmediato, cancelar o congelar las tarjetas y cambiar cualquier contraseña.

Buscar proactivamente los detalles robados: Si la información proporcionada por la organización que sufrió la brecha es demasiado vaga, es posible investigar para saber qué información personal ha sido expuesta. Sitios como Have I Been Pwned ofrecen este tipo de servicios de forma gratuita.

Buscar compensación: Si la violación ha causado angustia emocional o financiera, se puede buscar algún tipo de compensación. También se puede contactar con el regulador de privacidad nacional para ver qué derechos se tiene y/o un experto legal.

Fuente. ESET

blackanddecker
CUN-HAV Enjoy Travel Group
Mónica Eventos y Bodas
Agexport
AVA Resorts
Cervecería Centroamericana S.A.
Nestle
Herbalife
Los Portales
Servicios Médicos Cubanos
Barceló Solymar
Intecap
Grupo Hotelero Islazul
INOR
MAD-HAV Enjoy Travel Group
Cuba Energy Summit
Instituto Hondureño de Turismo
Irtra
Walmart
MITM Events
Realidad Turística
Irtra
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
MuniGuate

Related Articles

Agexport
Los Portales
Mónica Eventos y Bodas
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
MAD-HAV Enjoy Travel Group
Intecap
Grupo Hotelero Islazul
MITM Events
Cuba Energy Summit
CUN-HAV Enjoy Travel Group
INOR
Realidad Turística
Irtra
Servicios Médicos Cubanos
Instituto Hondureño de Turismo
AVA Resorts
Cervecería Centroamericana S.A.
Barceló Solymar
Irtra
MuniGuate
blackanddecker
Nestle
Herbalife
Walmart

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí
Captcha verification failed!
La puntuación de usuario de captcha falló. ¡por favor contáctenos!

Instituto Hondureño de Turismo
Nestle
Realidad Turística
blackanddecker
MITM Events
Irtra
Servicios Médicos Cubanos
Barceló Solymar
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Irtra
CUN-HAV Enjoy Travel Group
Agexport
Cuba Energy Summit
AVA Resorts
INOR
Los Portales
MuniGuate
MAD-HAV Enjoy Travel Group
Grupo Hotelero Islazul
Intecap
Cervecería Centroamericana S.A.
Walmart
Mónica Eventos y Bodas
Herbalife
- Advertisement -
Hotel Barcelo Solymar
Havanatur
Maggi - GLUTEN-FREE
Revista Colombiana de Turismo Passport
Barcelo Guatemala City
AirEuropa
Irtra
Blue Diamond Resorts
Intecap
MuniGuate
Henkel Latinoamerica
Cubacel

Lo más leído...

- Advertisement -
Havanatur
AirEuropa
Irtra
Blue Diamond Resorts
Revista Colombiana de Turismo Passport
MuniGuate
Cubacel
Maggi - GLUTEN-FREE
Intecap
Henkel Latinoamerica
Barcelo Guatemala City
Hotel Barcelo Solymar