Buscar

2012/06/09

Usuarios de LinkedIn sufren 'phishing' tras el robo de contraseñas


Las primeras consecuencias del robo de datos en LinkedIn han empezado a hacerse evidentes. Según revela la BBC, algunos usuarios de esta red social profesional han sido blanco de estafas por correo electrónico, después de que los hackers consiguieran saltarse las medidas de seguridad de esta compañía y filtraran más de seis millones de contraseñas en el foro de una web rusa.
Varios investigadores de seguridad confirman la noticia al asegurar que varios usuarios han reportado casos phishing en los que se utilizaba la imagen de la red social. Los cibercriminales han comenzado a mandar correos electrónicos haciéndose pasar por LinkedIn para redirigir la navegación de sus víctimas, informa Europa Press.
LinkedIn, que ayer ya recomendaba a los usuarios cambiar de contraseñas aunque no admitió oficialmente el hackeo, sí ha confirmado ya un problema de seguridad en su servicio y ha señalado en un comunicado que las cuentas cuentas afectadas han sido bloqueadas. La red social, que tiene más de 150 millones de usuarios, está enviando correos electrónicos a los usuarios cuyas contraseñas han sido robadas para explicarles la situación e informar sobre los pasos a seguir, señalan las mismas fuentes. La compañía, además, está trabajando para intentar limitar los daños ocasionados por este incidente.
En los correos detectados los ciberdelincuentes se hacen pasar por LinkedIn y explican que es necesario cambiar la contraseña de la red social, para lo cual facilitan un enlace. Este punto es el signo que identifica que se trata de una estafa ya que LinkedIn ha asegurado que en su correo de aviso a los afectados solo facilita información, sin incluir ningún enlace, añade la citada agencia.
Las empresas de seguridad advierten que los usuarios que reciban estos correos falsos pueden ser redirigidos a cualquier tipo de webs. Catalin Cosoi, investigador jefe de seguridad de Bitdefender, advierte que la fuga de más de 6,5 millones de contraseñas asociadas a LinkedIn "demuestra una vez más que cualquier violación de los datos puede tener efectos impredecibles en los usuarios y empresas".
El experto añade que, presumiblemente, el que filtró los hashes de contraseñas (los hashes son una función o método para generar claves que representen únicamente a un documento, registro o archivo) también tiene nombres y direcciones de correo electrónico y "el éxito de su ataque puede hacernos suponer que habrá nuevas infracciones". Cosoi recalca, por ello, la conveniencia de que los usuarios cambien su contraseña y que tengan una distinta para cada cuenta, de modo que en caso de filtración, el resto de cuentas asociadas (correo, otras redes sociales, ...) no se vean comprometidas.
El investigador de Bitdefender recomienda también a los usuarios más técnicos crear hashes de las contraseñas con los algoritmos de hash más comunes (MD5, SHA1, SHA2) y establecer una alerta de Google sobre el mismo. "Aunque este enfoque no es eficaz para las contraseñas filtradas en formatos de archivo no indexables, sí avisa al usuario en caso de que su contraseña con algoritmo hash haya sido publicada en foros relacionados con el cibercrimen", subraya.

No hay comentarios: