Este mes Tumblr reveló que direcciones y contraseñas de usuarios con hash y sal de 2013 habían caído en manos de atacantes.
Así lo comunicó:
Hace poco supimos que un tercero había obtenido acceso a un conjunto de direcciones de e-mail y contraseñas con hash y sal de usuarios de Tumblr de 2013, previo a la adquisición de Tumblr por Yahoo. Tan pronto como supimos de esto, nuestro equipo de seguridad investigó exhaustivamente el asunto. Nuestro análisis no nos da razones para creer que esta información fue usada para acceder a cuentas de Tumblr. Como precaución, sin embargo, requeriremos a los usuarios de Tumblr afectados que establezcan una nueva contraseña.
Con bastante sensatez, Tumblr dijo que le pediría a los usuarios afectados que cambien sus contraseñas - siempre una buena idea. Pero hay algunas cosas que Tumblr no dijo.
Por ejemplo, en su breve anuncio, no dijo cuántos usuarios fueron impactados por la brecha. Tampoco subrayó la importancia de asegurar que las nuevas contraseñas elegidas deberían ser únicas y no usadas en otra parte de la Web. Y no le recordó a los usuarios que si están usando la misma contraseña de Tumblr (potencialmente comprometida) en otro lado, deberían cambiarla también.
Hay algo más sobre lo que Tumblr olvidó alertar a los usuarios. Inluso si no era probable que la base de contraseñas fuera robada fácilmente por cibercriminales, ellos tienen ahora sus direcciones de correo electrónico. Aun sin las contraseñas, los atacantes podrían enviar spam a los usuarios de Tumblr usando esa información, quizá distribuyendo malware o campañas de phishing en correos electrónicos que pretenden ser comunicaciones oficiales de la compañía.
En otras palabras, incluso si tu contraseña no fue robada como resultado de la brecha de 2013, incluso si la cambiaste desde entonces, todavía tienes razones para andar con cuidado.
Entonces, ¿cuántas personas deben tener cuidado?
Lo descubrí anoche, cuando recibí un correo de notificación del sitio Have I Been Pwned de Troy Hunt, que me avisaba que mis datos habían sido hallados en la base filtrada de Tumblr:
Hunt encontró hace poco una base de datos a la venta en el underground, que contenía 65.469.298 correos y contraseñas con hash. Se trata de un caso exactamente igual al de LinkedIn, que también sufrió un incidente hace años (en 2012) cuyas consecuencias salieron a la luz este mes, cuando la compañía informó que 117 millones de contraseñas habían sido filtradas.
Como reporta Motherboard, la base fue puesta a la venta por una persona bajo el alias "Peace", al igual que la de LinkedIn; el precio es apenas de 150 dólares. Este individuo también afirma que Tumblr usó el algoritmo SHA1 para almacenar las contraseñas, haciéndolas extremadamente difíciles de robar.
Pero aun si tu contraseña de Tumblr no está en riesgo de ser robada, probablemente deberías cambiarla por una fuerte. Asegúrate de que es única, difícil de adivinar y fácil de recordar para ti, como el ejemplo de este video:
También te aconsejo que habilites la autenticación en dos pasos en tu cuenta de Tumblr.
Finalmente, recuerda que si estás incluido en la base filtrada, tu dirección de correo electrónico está por ahí, así que mantente alerta y revisa con cuidado los e-mails que recibes. Los cibercriminales saben ahora cómo contactarte a ti y a otros 65 millones de usuarios de Tumblr.