Los credenciales de acceso (correo electrónico, contraseña, etc.) correspondientes a más de 500.000 millones de cuentas de Zoom han sido publicados en la dark web, según Bleeping Computer.
El listado de correos electrónicos y contraseñas no procede de una brecha de seguridad en Zoom, la aplicación de videoconferencias que, debido a la expansión de la COVID-19, ha experimentado un auge en popularidad. Los hackers, en su lugar, aprovecharon la desaconsejada pero común práctica de repetir contraseñas en diferentes servicios en línea, comenzaron a iniciar sesión en Zoom utilizando contraseñas filtradas en brechas de seguridad sufridas por otros servicios en el pasado y publicaron aquellos credenciales que resultaron ser correctos.
Estos credenciales de acceso a Zoom comenzaron a aparecer en la dark web en torno al 1 de abril, según ha explicado la firma de ciberseguridad Cyble a Bleeping Computer. En algunos casos, los credenciales se ofrecen gratuitamente, mientras que en otros se venden por menos de un penique.
Zoom pone en riesgo tu privacidad y seguridad; estas alternativas, en cambio, no lo harán
Bleeping Computer asegura haber contactado con algunas de las direcciones de correo electrónico incluidas en los listados publicados por los hackers. Muchos de los usuarios afectados confirmaron que las contraseñas publicadas eran correctas.
Entre los credenciales de acceso filtrados se encuentran cuentas pertenecientes a grandes compañías como JP Morgan Chase, Citibank e incluso instituciones educativas como la Universidad de Florida, la Universidad de Colorado o la Universidad de Vermont.
Cómo saber si te has visto afectado
Reutilizar la misma combinación de correo electrónico y contraseña en diferentes servicios es una práctica común pero muy desaconsejada. Si un servicio sufre una brecha de seguridad en la que las contraseñas de los usuarios se ven comprometidas, los hackers no solo obtendrían la información almacenada en dicho servicio, también podrían acceder a las cuentas creadas en otras plataformas, incluyendo servicios bancarios, correos electrónicos e incluso fotografías almacenadas en la nube.
Para verificar si una dirección de correo electrónico se ha visto comprometida en una brecha de seguridad, la opción más efectiva es utilizar herramientas como Have I Been Pwned o AmIBreached, que alertan al usuario cuando alguna de sus cuentas puede haberse visto afectada.
Para facilitar el uso de contraseñas diferentes en todos los servicios, existen herramientas como 1Password, LastPass o iCloud Keychain que generan y almacenan los diferentes credenciales de acceso de una forma sencilla, segura y eficaz. En estas plataformas, además, los datos de acceso están protegidos con múltiples capas de seguridad y cifrado.