En una nota publicada el día de hoy, Reddit informó el descubrimiento de una brecha de seguridad que ha comprometido la información de algunos usuarios. El hallazgo indica que un pirata informático obtuvo acceso a una base de datos de 2007, de la cual pudo extraer correos electrónicos y contraseñas encriptadas.

La plataforma señala que usuarios de reciente registro también se han visto afectados, pero la mayoría del daño está presente en los datos de personas que se registraron hace más de 11 años. El comunicado confirma que ya se han puesto en contacto con las cuentas afectadas para indicarles el proceso a seguir.

Para todos aquellos que posean contraseñas muy similares a las que tenían activas en 2007, Reddit recomienda que cambien sus claves de acceso aunque no hayan sido notificados por la afectación. Además, sugieren activar la verificación en dos pasos únicamente utilizando los servicios de Authy y Google Authenticator, ya que el atacante ingresó a los sistemas de la plataforma interceptando los mensajes de texto SMS.

Fue hasta el 19 de junio que Reddit se percató del hecho y comenzó una investigación profunda, pudiendo confirmar que a mediados de ese mismo mes el hacker accedió a las cuentas de varios empleados, ayudándose de los mensajes SMS interceptados para pasar sin problemas la verificación de dos factores.

Aunque tuvo acceso a información muy importante, afortunadamente no podía realizar cambios a la misma. El hacker también pudo acceder a la lista de correos electrónicos que usó Reddit para mandar el boletín correspondiente al mes de junio.

Otras plataformas ya estaban preparadas

Recientemente, Instagram confirmó que prescindirá totalmente de los mensajes SMS en su verificación en dos pasos. El movimiento se realizó después de que diversos medios reportaran cómo los piratas informáticos están robando números telefónicos y transfiriéndolos a otras tarjetas SIM bajo su control.

Esto les permite tener acceso a diversos servicios y plataformas que utilizan el teléfono en este tipo de verificación. Los responsables de seguridad en Reddit han dicho lo siguiente en el comunicado:

Aprendimos que la autenticación basada en SMS no es tan segura como esperaríamos.

Tras este hecho, se espera que cada vez sean más las compañías que se suman a eliminar los SMS como un medio para acceder a los servicios, pues ya quedó claro que pueden causar daños considerables a la información de las personas.