Taringa ha sido hackeada; filtran datos de 28 millones de usuarios

La conocida plataforma social Taringa, considerada por algunos como «el Reddit latinoamericano», sufrió un ciberataque que se saldó con el robo y la filtración de datos de 28.722.877 usuarios, incluyendo desde nombres hasta direcciones de correo electrónico y contraseñas.

Según podemos leer en la fuente de la noticia, que ha dado la información como exclusiva, la brecha de seguridad ocurrió el mes pasado pero Taringa no lanzó un aviso público y de forma abierta sino que se limitó a alertar a los usuarios afectados que intentaban acceder a su cuenta.

Esa opacidad y esa falta de diligencia por parte de Taringa ha empezado a levantar ampollas entre la comunidad, que enfrenta el peor ciberataque ha sufrido hasta el momento.

Aviso de Taringa para el cambio de contraseña.

La brecha de seguridad es auténtica y el problema muy grave

Ha sido LeakBase quien ha dado la voz de alarma y para confirmar la autenticidad y la gravedad de esta brecha de seguridad ha mostrado de forma confidencial a The Hacker News una parte de los datos filtrados.

Para proteger a sus usuarios Taringa ha enviado un correo electrónico para realizar un cambio de contraseña, pero esto no le permite esconder esa falta de transparencia que citamos en párrafos anteriores, y tampoco la imprudencia que supone utilizar un algoritmo de cifrado de contraseñas obsoleto e inseguro.

Decimos esto porque las contraseñas que se filtraron junto al resto de datos de los usuarios de Taringa estaban cifradas con el algoritmo MD5, una solución que se considera insegura y desactualizada desde hace más de cuatro años.

Para que entendáis mejor este punto y su importancia ese algoritmo de cifrado es tan débil que LeakBase ha podido descifrar ya el 93,79% de todas las contraseñas filtradas, lo que equivale casi a 27 millones de ese total de 28.722.877.

Longitud de las contraseñas.

Cifrado débil y contraseñas inseguras

Está claro que Taringa ha cometido un error muy grave al utilizar un cifrado débil y obsoleto, pero debemos tener en cuenta que los usuarios tienen parte de responsabilidad por utilizar contraseñas inseguras.

Basta mirar la imagen adjunta con las contraseñas más utilizadas en dicha comunidad para entender perfectamente nuestra afirmación, aunque siendo justos en este sentido Taringa también tiene una parte de culpa importante por permitir los registros con contraseñas poco seguras.

Como anécdota curiosa es de locura ver que alrededor de 50.000 usuarios utilizaban la contraseña «Taringa» y que unos 160.000 usuarios mantenían la contraseña «123456789», una vieja conocida de las listas de contraseñas más inseguras del mundo, no en vano es de las primeras que se utilizan en los atraques programados de fuerza bruta.

Contraseñas más utilizadas a la izquierda, número de usuarios a la derecha.

Conclusiones

La mayoría de las contraseñas filtradas eran inseguras y no contenían ningún tipo de caracteres especiales o símbolos, elementos que añaden un plus de seguridad importante y que ayudan a reforzar en gran medida la seguridad de una contraseña, incluso aunque no sea especialmente larga.

Como indicamos en el apartado anterior los usuarios que utilizan contraseñas inseguras se exponen a este tipo de problemas, pero Taringa también tenía un deber de diligencia mínima que no cumplió ya que debería haber impedido los registros con contraseñas débiles, así que debe culparse también a sí misma.

Si tenéis cuenta en Taringa os recomendamos cambiar la contraseña por una más segura que cumpla como mínimo con los siguientes requisitos:

• Al menos nueve letras.
• Al menos un número.
• Al menos una mayúscula intercalada.
• Al menos un símbolo especial (como «-» o «ç»).