A pesar de que la ciberdelincuencia es difícil de perseguir y no es habitual que los hackers dejen ningún cabo suelto, hay ocasiones en que un descuido por su parte permite descubrir más rápidamente el delito. Este ha sido el caso del robo de información perteneciente a 350.000 usuarios de Spotify que se encontraba almacenada en un servidor de búsqueda, Elasticsearch, de manera insegura.
El equipo de investigación de la compañía de ciberseguridad vpnMentor, dirigido por Ran Locar y Noam Rotem, ha descubierto en una operación de mapeo web una base de datos con más de 380 millones de registros individuales, en la que se podían encontrar la información para el inicio de sesión que permite el acceso a Spotify de entre 300.000 y 350.000 usuarios de la plataforma.
Los hackers utilizaron la técnica del relleno de credenciales
La técnica utilizada para el robo de datos ha sido el conocido como relleno de credenciales, que se basa en la utilización de los datos de acceso robados de alguna cuenta para intentar entrar en otros sitios web. Esta práctica resulta exitosa la mayoría de las veces debido a la mala costumbre de los usuarios de Internet de usar la misma contraseña en más de una ocasión y también por la debilidad de las mismas.
El equipo de vpnMentor, tal y como explica en un comunicado, pudo acceder a esta base de datos porque no estaba protegida ni tampoco cifrada. El modelo de trabajo de la compañía para detectar datos filtrados se basa en el escaneo de puertos para examinar bloques de IP particulares y probar diferentes sistemas que permitan descubrir debilidades o vulnerabilidades.
Una vez hallada esta brecha, se verifica el propietario de la base de datos, que normalmente suele ser una empresa comercial, como es el caso de Spotify. VpnMentor actuó en consecuencia alertando a la plataforma de un posible fraude dirigido a sus usuarios, ya que los 72GB robados incluían nombres de usuario y contraseñas de cuentas verificadas en Spotify, correos electrónicos y países de residencia.
VpnMentor explica que la filtración también contenía numerosas direcciones IP, pero consideran que lo más probable es que perteneciesen a servidores proxy de los operadores de la red en la que se alojó la base de datos.
Desde vpnMentor advierten de que esta información que había sido sustraída era suficiente para que hackers malintencionados pudiesen cometer distintas acciones, como fraude financiero, robo de identidad, estafas de phishing y malware, abuso de cuenta o adquisición de cuentas externas.
El problema de las contraseñas débiles y repetidas
Redes sociales, apps, plataformas de streaming, correo electrónico, banca, accesos a las herramientas de trabajo… Son muchos los perfiles de cuentas que gestionamos diariamente a través de distintos dispositivos, y que se encuentran protegidos con una contraseña que normalmente no nos esforzamos en exceso por crear y que además reutilizamos.
Los expertos en ciberseguridad advierten constantemente del problema que esto supone y de la importancia de tomarse en serio la seguridad de nuestros perfiles personales. Parece que este es un mensaje que aún no cala lo suficiente entre la población, teniendo en cuenta que hace tan solo unos días que NordPass publicó su tradicional lista de las 200 peores contraseñas utilizadas durante este año y la ganadora fue «123456», con más de 2,5 millones de usuarios y vulnerada más de 23 millones de veces debido a que el tiempo que conlleva descifrarla es de menos de un segundo.
El equipo de vpnMentor recomienda la utilización de un generador de contraseñas, así como la revisión de las que ya manejamos a través de este medidor, que informa del nivel de seguridad de las contraseñas que introducimos y del tiempo que los ciberdelincuentes tardarían en piratearla.