Búsqueda de Ciberamenazas

Reddit admite que ha sido hackeado y que le han robado datos, y comenta al respecto: “Que no cunda el pánico”

Reddit es la última web que ha sufrido una violación de datos en la que se ha robado su propio código fuente.

En las últimas semanas, LastPass y GitHub han confesado experiencias similares, en las que los ciberdelincuentes aparentemente irrumpieron y entraron de la misma manera: averiguando un código de acceso o contraseña de un miembro individual del personal, y colándose bajo la identidad corporativa de ese individuo.

En palabras del propio Reddit

Los sistemas de Reddit fueron pirateados como resultado de un ataque de phishing sofisticado y muy selectivo. Obtuvieron acceso a algunos documentos internos, código y algunos sistemas empresariales internos.

No estamos seguros de hasta qué punto es adecuado aquí el adjetivo “sofisticado”, entre otras cosas porque Reddit no tarda en afirmar lo siguiente:

Como en la mayoría de las campañas de phishing, el atacante envió avisos que parecían plausibles y que dirigían a los empleados a un sitio web que clonaba el comportamiento de nuestro portal de intranet, en un intento de robar credenciales y tokens de segundo factor.

Tras obtener con éxito las credenciales de un solo empleado, el atacante obtuvo acceso a algunos documentos internos, código, así como a algunos cuadros de mando internos y sistemas empresariales. No mostramos indicios de violación de nuestros sistemas de producción primarios (las partes de nuestra pila que ejecutan Reddit y almacenan la mayoría de nuestros datos).

En otras palabras, es casi seguro que este ataque tuvo éxito no porque fuera sofisticado, sino porque no lo era.

Alguien, tal vez con prisa, llegó a lo que creía que era la frontera, entregó su pasaporte a un compañero de viaje en lugar de a un agente fronterizo oficial, y luego se encontró atrapado en tierra de nadie sin ningún documento de identidad mientras el impostor atravesaba el paso fronterizo en su nombre.

El factor más importante en un ataque de usurpación de identidad de este tipo, no es la sofisticación, sino, como Reddit ha señalado anteriormente con acierto, la verosimilitud, que hace que sea fácil incluso para personas bien informadas y precavidas “pasar” basándose en la costumbre y la experiencia.

El riesgo que supone el comportamiento habitual es la razón por la que la señalización vial oficial británica incluye un rectángulo rojo brillante con las palabras NEW ROAD LAYOUT AHEAD que se utiliza cuando se reorganiza un tramo de carretera muy transitado. La señal no está ahí para proteger a los veteranos de los nerviosos nuevos usuarios de la carretera, que pueden encontrar complicado un cruce grande o una rotonda. Está ahí para proteger a los nuevos usuarios, que no tienen más remedio que actuar con cautela a partir de principios básicos y, por tanto, es probable que sigan las normas de circulación sin problemas, de los veteranos que creen “saber” cómo se comportará el tráfico en ese lugar y, por tanto, lo atraviesan sin cuidado, basándose en suposiciones incorrectas y en un comportamiento “aprendido pero ahora inadecuado”.

¿Hasta dónde llegaron los delincuentes?

Como ya se ha dicho, los atacantes accedieron a algunos de los sistemas internos de Reddit.

Además de los “documentos” y el “código”, en su mayoría inofensivos, mencionados anteriormente, Reddit ha admitido que se robó información sobre empleados y “contactos” pasados y presentes (suponemos que esto incluye, pero no se limita a, contratistas y otro personal no permanente), junto con información sobre clientes publicitarios.

Reddit no ha declarado públicamente qué tipo de campos de datos se incluyeron en la información robada, limitándose a decir que la violación fue “limitada”.

Pero la palabra “limitada” puede ser una buena señal (por ejemplo, nombre y dirección de correo electrónico, y ningún otro dato), pero también podría ser mala (por ejemplo, “solo” dos datos: tu número de la seguridad social y una copia escaneada de tu carné de conducir).

Al parecer, los usuarios registrados del servicio Reddit -o Redditors- pueden dejar de preocuparse, ya que Reddit afirma que su investigación hasta el momento no muestra indicios de que los ciberdelincuentes accedieran a lo que denomina “datos no públicos” (en otras palabras, cosas que no publicaste para que el mundo las viera).

Y, como ya se ha mencionado, los propios sistemas de Reddit -los sistemas operativos, el código y las redes que ejecutan los servicios de Reddit con los que interactúas, ya sea como usuario o como visitante- no parecen haber sido vulnerados.

De esto deducimos que es poco probable que los delincuentes se hayan hecho con datos como registros de inicio de sesión, registros del sistema, información de localización o hash de contraseñas.

La empresa también declaró, en su notificación, que sigue investigando este incidente (que ocurrió el domingo 5/2/2023).

Dada su razonablemente rápida respuesta hasta ahora, suponemos que Reddit hará un seguimiento a su debido tiempo para decir si ha encontrado alguna otra prueba de compromiso.

¿Qué hacer?

Para ser honesto, a menos que seas un empleado o anunciante de Reddit, no parece que haya mucho que puedas o necesites hacer ahora mismo.

(Suponemos, si trabajas o te anuncias en Reddit, que la empresa ya se habrá puesto en contacto contigo personalmente si tus datos se encontraban entre la información “limitada” robada, lo que consideraríamos una mejor respuesta a corto plazo que decírselo antes a todo el mundo).

El propio Reddit ha hecho tres sugerencias, a saber:

  • Protégete contra el phishing utilizando un gestor de contraseñas. Esto hace más difícil poner la contraseña correcta en el sitio equivocado, porque el gestor de contraseñas no se deja engañar por el aspecto de un sitio, sino que trabaja sin emociones con el nombre exacto de la página web que ve en la barra de direcciones. Irónicamente, éste parece ser un consejo que la propia Reddit no siguió, dado que los atacantes utilizaron un sitio de apariencia plausible para robar las credenciales de inicio de sesión, que un gestor de contraseñas presumiblemente habría rechazado por desconocidas.
  • Activa el 2FA si puedes. Esto significa que necesitas un código de un solo uso que cambia en cada inicio de sesión, lo que hace que una contraseña robada sea inútil por sí sola. Estamos de acuerdo en que es una gran idea, pero ten en cuenta que el propio mecanismo de 2FA (autenticación de dos factores) de Reddit, basado en un código de seis dígitos que cambia regularmente generado por una aplicación en tu teléfono, aparentemente no ayudó en este caso, porque los atacantes suplantaron tanto una contraseña actual como un código 2FA válido en ese momento.
  • Cambia tus contraseñas cada dos meses. No estamos de acuerdo con este consejo, como tampoco lo está el Instituto Nacional de Estándares y Tecnología de EEUU (NIST). Cambiar por cambiar no suele ser una buena idea, porque tiende a imponer un comportamiento habitual que, en palabras de Chester Wisniewski “hace que todo el mundo adquiera un mal hábito“.