Este robo de datos se basó en un fallo muy básico: la reutilización de contraseñas. Estas 350.000 cuentas vulneradas de Spotify se pudieron hackear porque sus dueños habían reutilizado las contraseñas de otros servicios de Internet. 

Es por esto por lo que los ciberdelincuente solo tuvieron que tener tiempo libre, paciencia, e ir enlazando los datos de otras brechas de seguridad hasta dar con las credenciales de las cuentas de Spotify.

Es decir, que previamente a este robo de cuentas en Spotify, ya hubo varios robos más en otros servicios de Internet. Los ciberdelincuentes armaron el rompecabezas y lograron entrar en 350.000 cuentas de Spotify.

Pero la historia no queda ahí, sino que los piratas informáticas, tras su "hazaña", colocaron la información en un nube no segura. Ahí fue cuando se localizó el problema.

Este fallo fue comunicado a Spotify el 9 de julio de 2020 y en cuestión de 10 días ya se había notificado y solucionado. Según comentan los investigadores de seguridad de vpnmentor, Ran Locar y Noam Rotem, cualquier usuario malintencionado, sin tan siquiera tener contraseña en el servidor Elasticsearch elegido por los ciberdelincuentes, podría haber descubierto la lista de cuentas de Spotify.

Los investigadores dieron de casualidad con este fallo tras una revisión de lugares no seguros en Internet. Ambos trabajan en un proyecto llamado The Leak Box que escanea toda la red en busca de sitios no seguros.

Ambos investigadores afirman que debido a que estos datos estaban hospedados en un servidor mySQL sin cifrado ni seguridad, cualquier usuario podría haber descubierto lo mismo que ellos y haber estado en contacto con esos datos.

Ran Locar y Noam Rotem escribieron los detalles del hallazgo en la web vpnMentor. Comentaron que entre toda esa cantidad de información había datos como IP, contraseñas, usuarios, correos electrónicos, país de residencia, etc. En total eran 72 GB de información sensible correspondiente a 380 millones de registros.

En el informe también se detallan posibles fines de la información encontrada, como por ejemplo, ataques de phishing dirigidos de forma personalizada, acceso a otras cuentas, suplantar identidades en internet, envío de malware vía email, estafas y fraudes financieros, entre otros fines.

Extensión de Google para Chrome comprueba si tus contraseñas son seguras

Aprovechando la celebración del Día de Internet Segura, Google ha lanzado Password Checkup, una extensión para Chrome que comprueba si tus contraseñas son seguras.

Leer la noticia

Reutilizar contraseñas de un servicio a otro es una mala práctica. Por ejemplo, usar la misma contraseña en Instagram, que en Google, que en Spotify, nos expone, en casa de hackeo, a que los piratas informáticos tengan acceso a todos nuestros correos personales, nuestras fotos de Instagram y hasta a nuestra cuenta bancaria en caso de que tengamos Spotify Premium.

Si acostumbramos a reutilizar contraseñas entre los diferentes servicios donde tenemos cuenta, debemos proceder a cambiarlas de inmediato.

Hace unos días conocimos cuáles son las 10 contraseñas más inseguras, y más usadas, en todo el mundo. Escribir contraseñas seguras requiere de ciertos consejos que nunca viene mal conocer.