Zello sufre incidente de seguridad y solicita reiniciar la contraseña a todos los usuarios. A raíz de un comunicado de Zello, aplicación de mensajería de voz que cuenta con más de 140 millones de usuarios, donde anuncian que fueron víctimas de un incidente de seguridad, ESET advierte sobre una posible exposición de información de usuarios de la aplicación y acerca consejos para mantener las cuentas protegidas.
Zello, la aplicación de mensajería de voz que funciona como un walkie talkie, confirmó que el día 8 de julio fueron víctimas de un incidente de seguridad tras descubrir actividad inusual en uno de sus servidores. Esto podría haber derivado en que un tercero no autorizado haya podido acceder a las direcciones de correo utilizadas por los usuarios de la aplicación para ingresar a sus cuentas, así como a sus contraseñas hasheadas.
Si bien no hay evidencia de que se haya accedido de forma indebida a alguna de las cuentas de los usuarios y los nombres de usuarios no se vieron afectados por este incidente, sí lo fueron las direcciones de correo. Ante esta situación y como precaución, Zello está solicitando a los usuarios que reinicien la contraseña que utilizan para acceder a la app.
¿Por qué es tan riesgoso reutilizar contraseñas? Credential stuffing es un término utilizado para referirse a las vulnerabilidades expuestas en las credenciales de acceso y que son aprovechadas por los atacantes. Esto puede convertirse en un problema grave no solo cuando un atacante utiliza credenciales de acceso robadas o filtradas, sino cuando el acceso a esa primer cuenta le permite al criminal acceder a otras cuentas –frecuentemente de mayor valor–, incluso gracias a la realización de pruebas de combinaciones usuario/contraseña los ciberdelincuentes logran acceder a otras cuentas y a muy bajo costo.
Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
En este sentido, desde ESET se aconseja crear una frase como contraseña antes que una contraseña simple y, siempre que se pueda, la implementación del doble factor de autenticación, que provee de una capa adicional de defensa.
Esta estrategia también resuelve algunas debilidades que pueden estar presentes en la contraseña elegida. A su vez, si resulta complicado recordar todas las contraseñas únicas que creadas, se recomienda la utilización de un administrador de contraseñas, de manera de recordar solo una contraseña pero suficientemente robusta para mantener protegida al resto de las cuentas.