Si eres uno de los 140 millones de usuarios que disfrutan de la música en Spotify, especialmente si eres uno de sus 60 millones de usuarios de pago, debes asegurarte que usas una contraseña robusta y única en tu cuenta. Si no, puede que los cibercriminales accedan a tu cuenta.
Ryan Jackson, de Collective Labs, ha encontrado una herramienta de hacking de fuerza bruta llamada Spotify Cracker v1, que automáticamente combina nombres de usuario y contraseñas conocidas hasta que compromete cuentas de Spotify que emplean esas credenciales.
Jackson, de 17 años de edad, ha pertenecido a grupos de hacking como New World Hackers y Lizard Squad, aunque nunca participó en sus payasadas, según declaró al International Business Times (IBT), afirma que el mes pasado encontró la herramienta en un servidor privado de Discord (una conocida plataforma gratuita de comunicaciones usada principalmente por jugadores).
Los protocolos actuales de autenticación de Spotify (no utilizan ni CAPTCHAs ni ofrecen autenticación de dos factores) no ofrecen mucha resistencia. Al carecer de mecanismos que bloqueen una cuenta después de un cierto número de contraseñas incorrectas, un ataque de fuerza bruta puede seguir intentándolo hasta que tenga éxito.
Los ciberdelincuentes pueden fácilmente emplear credenciales (nombres de usuario y contraseñas) comprometidos en otros ataques y que están disponibles en los mercados de la Dark Web, a veces incluso gratis, y probar suerte por si funcionan en Spotify.
Jackson lo intentó y comprobó que en 15 minutos pudo entrar en 100 cuentas utilizando la herramienta. Afirmó que alguien podía dejar la herramienta funcionando toda la noche y levantarse con 20.000 cuentas comprometidas.
Spotify, cuya base está en Suecia, no ha comentado esta noticia, pero el IBT informa que la empresa dice que no ha sufrido una filtración y que sus bases de datos son seguras. Un portavoz añadió que están atentos a filtraciones de otros servicios y que toman medidas para securizar las cuentas de Spotify cuando esto ocurre, por lo que revisan webs como Pastebin en busca de credenciales filtradas que pueden ser usadas para acceder a Spotify.
La empresa no dio respuesta a las preguntas realizadas para conocer si dentro de esas medidas se incluía añadir medidas de seguridad a su protocolo de autenticación.Esta falta de seguridad, incluso después de que Collective informara sobre Spotify Cracker, ha recibido críticas de Brian Krebs, un importante blogger de seguridad:
Well what about it @spotifycares? How hard is it to put a captcha there?
— briankrebs (@briankrebs) December 28, 2017
CAPTCHAs y la autenticación de doble factor no son herramientas de tecnología punta, es seguridad básica que una empresa con 140 millones de usuarios debería implementar.
Hasta que se tomen medidas, está en mano de los usuarios cómo defenderse. Lo que significa que deben utilizar contraseñas lo más robustas posible y no reutilizarlas en ningún otro servicio.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario