Millones de códigos de doble factor de autenticación (2FA) utilizados por servicios populares como Google, WhatsApp, Facebook y TikTok han sido expuestos debido a una grave falla de la empresa YX Internacional, según reveló el investigador de seguridad Anurag Sen.
Base de datos desprotegida: un riesgo inminente
La compañía asiática YX Internacional, encargada del enrutamiento de 5 millones de mensajes de texto SMS por día, sufrió una filtración masiva de datos después de que una de sus bases de datos quedara desprotegida y accesible públicamente a través de internet, sin requerir ninguna herramienta especial más que un navegador web.
Entre la información expuesta se encontraban:
- Millones de códigos de seguridad 2FA de servicios como Google, WhatsApp, Facebook y TikTok.
- Enlaces para restablecer contraseñas de cuentas de usuarios.
- Cuentas de correo electrónico y contraseñas internas de la propia empresa YX Internacional.
- Registros mensuales de datos que datan desde julio de 2023.
Riesgo para los usuarios
Si bien los códigos 2FA tienen una vida útil muy corta y caducan rápidamente, los expertos advierten que un ciberatacante podría aprovechar esta situación si monitoreara la base de datos y las acciones de las víctimas u objetivos específicos.
Jake Moore, especialista en ciberseguridad de ESET, detalló que las contraseñas de un solo uso a través de SMS son una opción segura si se compara con una única clave.
“Ahora bien, las amenazas tienen múltiples capas, por lo que las cuentas necesitan una protección que también sea multicapa para mantenerse seguras”.
YX Internacional aseguró que la vulnerabilidad ya se encuentra sellada, pero el incidente pone de manifiesto la necesidad de implementar medidas de seguridad más sólidas en la industria tecnológica para proteger la privacidad y los datos de los usuarios.
Llamado a fortalecer la seguridad
Aunque el riesgo inmediato se considera bajo, los expertos de ESET, comparten una serie de recomendaciones clave que los usuarios deben considerar luego de recibir una notificación sobre una violación de datos.
Mantener la calma y analizar la situación
Es fundamental comprender qué tipo de información ha sido robada y qué implicaciones puede tener.
Además, se recomienda guardar el correo electrónico con la notificación, ya que podría ser necesario demostrar en un futuro que la filtración fue responsabilidad de un tercero.
Verificar la legitimidad de la notificación
Antes de tomar cualquier acción, es crucial asegurarse de que la notificación sobre la violación de datos sea legítima.
Los ciberdelincuentes a menudo aprovechan estos incidentes para lanzar campañas de phishing, buscando que los usuarios hagan clic en enlaces maliciosos o divulguen información personal.
Por lo tanto, contactar directamente con la organización o servicio que sufrió la brecha, ya sea a través de su sitio web oficial o sus redes sociales.
Si se determina que la notificación es una estafa, se debe reportar y/o eliminar el mensaje de inmediato.
Estar alerta ante posibles fraudes
Es probable que los actores maliciosos responsables de la brecha intenten vender los datos personales robados en foros clandestinos dentro de la dark web.
Por esa razón, ESET aconseja estar atento a cualquier correo electrónico o mensaje de apariencia legítima que llegue luego de una violación de datos, ya que podría tratarse de un intento de fraude.
Cambiar contraseñas y revisar cuentas
Incluso si los inicios de sesión no se han visto comprometidos en la brecha, es recomendable cambiar las contraseñas como medida preventiva para ganar tranquilidad.
Además, se debe cambiar las contraseñas de cualquier otra cuenta en la que se utilice la misma clave para el inicio de sesión.
También es fundamental revisar las cuentas bancarias y otras cuentas en línea en busca de actividades sospechosas.
Si la notificación advierte que los datos de inicios de sesión han sido robados, se deben cambiar de inmediato y, en caso de que involucre información financiera, se debe informar al banco, cancelar o congelar las tarjetas y cambiar cualquier contraseña.
Buscar detalles sobre la información robada
Si la información proporcionada por la organización que sufrió la brecha es demasiado vaga, es importante investigar para saber qué información personal ha sido expuesta.
Sitios web como Have I Been Pwned ofrecen este tipo de servicios de forma gratuita.
Buscar compensación si corresponde
Los usuarios también pueden contactar con el regulador de privacidad nacional para conocer sus derechos y/o buscar asesoramiento legal de un experto.
Siguiendo estas recomendaciones, los usuarios podrán tomar las medidas adecuadas para mitigar los riesgos y proteger su privacidad y seguridad en línea después de una violación de datos.
