El popular monitor de actividad de Under Armour, MyFitnessPal, ha sido hackeado. Si eres uno de sus 150 millones de usuarios de su app o web no te asustes, pero cambia tu contraseña ya.
Si utilizas Facebook para conectarte con MyFitnessPal no tienes que cambar tu contraseña de Facebook.
Si utilizas la contraseña de MyFitnessPal en otras webs, cambia tu contraseña en esas web y escoge una diferente y única para cada web, puedes utilizar un gestor de contraseñas si esto te parece muy difícil.
Under Armour dice que está notificando a los usuarios de MyFitnessPal el incidente. Es posible que los ciberdelincuentes intenten sacar provecho enviando correos o tuits maliciosos que se hagan pasar por Under Armour.
Te puedes proteger siendo proactivo: lee la nota en la que Under Armour informa sobre la filtración y comprueba la sección sobre preguntas y respuestas de seguridad.
No hagas clic en correos que parece que provienen de Under Armour o MyFitnessPal. La empresa ha dejado claro que no enviará correos sobre este tema que contengan enlaces o adjuntos.
Si necesitas visitar MyFitnessPal utiliza la marca en tu navegador si la tienes, o si no teclea la dirección https://www. MyFitnessPal.com, o simplemente usa la app en tu teléfono.
Las malas noticias
El 29 de marzo de 2018 Under Armour comenzó a informa a sus usuarios de MyFitnessPal que había sufrido una filtración de datos en algún momento del mes anterior:
El 25 de marzo de 2018 fuimos conscientes que durante febrero de este año un sujeto consiguió datos asociados con cuentas de usuarios de MyFitnessPal.
Los datos en peligro son credenciales de acceso a las cuentas de MyFitnessPal:
La información afectada incluye nombres de usuario, correos electrónicos y contraseñas hashed (la mayoría con una función llamada bcrypt usada para cifrar contraseñas).
La información afectada no incluye identificadores emitidos por el gobierno (como números de la seguridad social o del carné de conducir) porque no recopilamos esa información de nuestros usuarios. Los datos de pago no se vieron afectados porque se recopilar y procesan independientemente.
Por lo tanto, los ciberdelincuentestuvieron al menos un mes para enviar campañas de phishing personalizadas haciéndose pasar por MyFitnessPal y para crackear las contraseñas y utilizarlas en otros servicios (como cuentas de redes sociales).
Por eso es muy importante que cambies tu contraseña en MyFitnessPal y en cualquier otra cuenta en la que compartieras la misma contraseña lo más rápido posible.
Ya que la información en peligro puede ser usada para conectarse a tu cuenta de MyFitnessPal, todo los datos que ves cuando te conectas en tu cuenta también está en riesgo.
MyFitnessPal es un monitor de actividad que conoce tu nombre, dirección y edad, además de monitorizar tu dieta y pasos. Estos datos pueden parecer no muy importantes (y perderlos ciertamente no es tan importante como si perdemos, por ejemplo, los datos bancarios) pero es el tipo de información que puede ser utilizada en realizar ataques de ingeniería social, como el phishing, más convincentes.
Las noticias no tan malas
La gente, los procesos y el software son imperfectos y las filtraciones pueden pasarle a cualquiera, incluso empresas que toman precauciones para prevenirlas.
El daño causado por una filtración depende en gran parte de para qué ha sido planeada y cómo se gestiona cuando ocurre.
Es habitual que surja más información que ilumine lo ocurrido en las siguientes semanas o meses después de la filtración, a veces porque las empresas a menudo todavía están investigando cuando lo comunican por primera vez a sus clientes.
Con esta advertencia, Under Armour parece que ha hecho bien muchas cosas:
- La filtración se identificó razonablemente rápido.
- La notificación fue a tiempo y clara.
- Los datos afectados de la filtración son limitados.
- La mayor parte de las contraseñas se han protegido apropiadamente.
El almacenamiento de las contraseñas es particularmente importante, al realizar MyFitnessPal el hashing de las contraseñas con bcrypt ha dado una oportunidad de luchar.
Los ciberdelincuentes no tienen tu contraseña, tienen un hash que necesitan crackear. Crackear cuesta dinero (ya que lleva su tiempo y consume poder de ordenadores) y bcrypt está diseñado para realizar efectivamente su trabajo.
Por lo tanto cambia ahora tu contraseña ahora, no solo para que tu cuenta este segura, si no para que todo el tiempo y el dinero que han puesto los cibercriminales en descifrarla no valga para nada.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario