Déjame empezar por una confesión: le pago a MailChimp una buena cantidad de dinero cada mes para enviar newsletters a lectores de mi blog personal, y soy bastante fanático de la herramienta.
Enviar emails a muchas personas puede ser problemático, y preferiría invertir mi tiempo en crear artículos útiles e interesantes antes que tratar de descifrar por qué mi servidor de correo fue repentinamente bloqueado, o de enredarme en la telaraña de las diferencias en cómo los clientes de correo manejan hasta el HTML más simple.
Y, quizá lo más importante de todo, quiero estar seguro de que no pongo en riesgo la privacidad de aquellas personas que se han suscrito a mi lista de correos, de manera que sus datos no terminen en manos de spammers.
MailChimp es una de las firmas líderes a nivel mundial en lo que respecta a email marketing y envío de newsletters.
Hacen un buen trabajo y su patrocinio de podcasts populares, así como el uso de la mascota Freddie el chimpancé (aparantemente su nombre completo es Frederick Von Chimpenheimer IV) les ayudaron a construir una marca impresionante.
Probablemente puedas imaginarte que sonaron alarmas cuando leí en Motherboard que atacantes habían logrado entrar a cuentas corporativas de MailChimp para enviar a sus suscriptores correos con enlaces maliciosos.
Los correos estaban disfrazados de facturas del software contable QuickBooks y se enviaron a varias listas de mailing, incluyendo suscriptores del Sit Down Comedy Club en Brisbane, Australia:
Según Motherboard, el club tiene una respuesta automática en su cuenta de correo, diciéndoles a todos los que recibieron el correo malicioso titulado “Inoice 00317” (del inglés "invoice", factura, pero sin la "v") que lo borren inmediatamente:
"SI RECIBES UN EMAIL CON EL TÍTULO – Inoice 00317 de Sit Down Comedy Club Pty Ltd – POR FAVOR BORRA el correo que recibiste, no usamos Quickbooks. Es SPAM, no lo abras".
El hecho de que el club de comedia se haya tomado el trabajo de configurar una respuesta automática sugiere que deben haber recibido muchos correos de usuarios preguntando por qué recibieron una factura de su parte.
Otra víctima con cuenta corporativa de estos cibercriminales fue el sitio web Business News Australia, que envió un correo a los miembros de su lista pidiéndoles que borren el correo malicioso. El blogger de seguridad australiano Troy Hunt recibió el email y, en un tuit, señaló con sospecha a la mala seguridad de las contraseñas.
Entonces, como cliente de MailChimp, ¿debería darme pánico que mi propia cuenta haya sido comprometida por atacantes y puedan irrumpir en cualquier momento para enviar facturas maliciosas?
No lo creo.
Verás, yo creo que Troy tiene razón. Es poco probable que esto haya sido una brecha en MailChimp. Yo creo que es más probable que cuentas individuales hayan sido comprometidas a través de los medios de los cibercriminales, como campañas de phishing en busca de robar credenciales o el problema habitual de la reutilización de contraseñas.
Mi corazonada es que los usuarios afectados no adoptaron la protección adicional de la doble autenticación en sus cuentas.
La autenticación en factores múltiples implica que aun si tu contraseña es robada por un atacante, deberían encontrar muy difícil irrumpir en tu cuenta porque no tienen acceso al código siempre cambiante generado por la app de autenticación.
Claro que en una declaración a Motherboard, MailChimp confirmó que no había sufrido de una brecha en su sistema, sino que terceros no autorizados habían accedido a determinadas cuentas para enviar en forma masiva los mensajes maliciosos:
Esta mañana [23/11/2016] los procesos normales de MailChimp identificaron y deshabilitaron un pequeño número cuentas individuales que enviaban facturas falsas. Hemos investigado la situación y no encontramos evidencia de que MailChimp haya sido atacada. Las cuentas afectadas han sido deshabilitadas y se detuvo la actividad fraudulenta.
Realmente no hay excusa para no habilitar la doble autenticación siempre que un sitio la ofrezca, y eso es particularmente cierto en el caso de MailChimp, porque de hecho ofrece un descuento del 10% a los clientes que deciden asegurar sus cuentas más estrictamente.
Un cínico podría argumentar que ofrecer un descuento del 10% a los clientes que usen doble autenticación es solo una forma diferente de decir que MailChimp cobra un recargo del 10% a quienes no lo hacen. Y supongo que estarían en lo cierto.
Pero es una buena estrategia de marketing, ¿no?