El pasado 5 de febrero, Reddit, una popular plataforma social, sufrió un hackeo por parte de un atacante que llevó a cabo una exitosa campaña de phishing, esto se ha dado a conocer en un comunicado de la empresa dueña de la red social. El objetivo del atacante era obtener las credenciales de acceso y tokens de segundo factor de los empleados de la compañía engañándolos a través de un sitio web falso. A pesar de que el ataque fue descrito como “sofisticado y altamente dirigido”, Reddit afirma que los datos de los usuarios están a salvo.
El atacante accedió a los sistemas internos de Reddit después de que un empleado, que fue víctima de la campaña de phishing, introdujera sus credenciales en un sitio web falso. Con las credenciales obtenidas, el hacker pudo acceder a documentos internos, código y sistemas empresariales. Sin embargo, la compañía asegura que no hay indicios de violación en sus sistemas de producción primarios donde se encuentran y almacenan la mayoría de los datos de la plataforma.
Reddit informó que el atacante obtuvo información de contacto limitada de cientos de contactos y trabajadores actuales y anteriores, así como de algunos anunciantes. No hay evidencia de que se haya accedido a datos no públicos o que se haya publicado o distribuido la información de Reddit.
La compañía afirma que las cuentas y contraseñas de los usuarios de Reddit son seguras y que no se han vulnerado. Sin embargo, recomiendan a los usuarios activar la autenticación de dos factores y cambiar sus contraseñas cada dos meses, o incluso utilizar un gestor de contraseñas para generar claves más complicadas y añadir una capa adicional de protección.
¿Qué es el “Phishing”?
El phishing es un tipo de ataque en línea que busca engañar a las personas para que revele información confidencial, como nombres de usuario, contraseñas e información financiera, a través de una técnica de suplantación. Los atacantes suelen crear un correo electrónico o un sitio web falso que parece ser de una empresa o entidad de confianza, y luego solicitan a los destinatarios que proporcionen información personal o financiera.
Técnicas para protegerse del Phishing
Existen varias maneras de protegerse contra el phishing:
- Verificar la dirección URL: Antes de ingresar sus credenciales en un sitio web, asegúrese de que la dirección URL es correcta y proviene de un sitio legítimo.
- No haga clic en enlaces sospechosos: No haga clic en enlaces sospechosos en correos electrónicos o mensajes de texto, especialmente si están enviados por desconocidos o parecen sospechosos.
- Mantener actualizado el software: Mantenga sus dispositivos y software actualizados con las últimas correcciones de seguridad.
- Autenticación de dos factores: Habilite la autenticación de dos factores en todas las cuentas que lo permitan para aumentar la seguridad.
- No compartir información personal: No comparta información personal o sensibles, como números de seguridad social o contraseñas, con nadie.
- Ser escéptico: Si recibe un correo electrónico o mensaje de texto que solicita información personal o financiera, sea escéptico y verifique la autenticidad de la fuente antes de proporcionar información.
- Utilice un gestor de contraseñas: Utilice un gestor de contraseñas para crear y almacenar contraseñas seguras y únicas para cada una de sus cuentas en línea.
Estos son solo algunos ejemplos, pero siguiendo estos consejos, puedes ayudar a protegerte contra los ataques de phishing y mantener tus datos seguros.