Spotify niega un ataque que pudiera dar lugar al robo de credenciales

Spotify niega un ataque que pudiera dar lugar al robo de credenciales

Rubén Velasco

Los piratas informáticos suelen buscar plataformas con un considerable número de usuarios a las que atacar con el fin de lograr la mayor base de datos posible para venderla en el mercado negro o simplemente hacerla pública de forma gratuita. Plataformas como Netflix o Steam se han visto en varias ocasiones víctimas de estos robos de datos, los cuales no son siempre por culpa de un fallo de seguridad en la propia empresa, sino que pueden ser culpa de servicios de terceros con acceso a sus cuentas e incluso de los propios usuarios, quienes por malware o phishing han filtrado sus datos de acceso.

El pasado fin de semana, concretamente el día 23 de abril, un grupo de piratas informáticos anónimo publicaba en Internet una lista con cientos de credenciales e información personal de usuarios de Spotify, plataforma líder de reproducción de música en streaming, abriendo así la puerta a un posible ataque contra los servidores de la compañía, quien, hasta ahora, no se había pronunciado al respecto.

Entre la información publicada en Pastebin, plataforma donde, en otras ocasiones, ya hemos visto publicada información personal, cabe destacar:

  • Direcciones de correo electrónico.
  • Contraseñas.
  • Tipo de cuenta (Free, Premium, etc).
  • País de registro.
  • Fecha de renovación del Premium.

Cuentas robadas de Spotify abril 2016

La información publicada pertenecía a usuarios de todo el mundo, lo que hizo pensar que o se trataba de un ataque de alcance global o que, tal como se temía, los servidores de Spotify se habían visto comprometidos. Tras la publicación y los primeros escándalos al respecto, la compañía comenzó a comprobar sus sistemas y a auditarlos en busca de un posible acceso no autorizado a los mismos.

Los servidores de Spotify no se han visto comprometidos en ningún momento

5 días más tarde de la publicación de la base de datos y el comiendo de la auditoría de seguridad por parte de Spotify, finalmente, la compañía ha hablado al respecto de dicha base de datos publicada asegurando que sus servidores no se han visto comprometidos en ningún momento, por lo que los datos deben venir de algún otro lugar.

Spotify asegura que cuando detecta la más mínima sospecha de ataque informático, enseguida advierte a los usuarios para que cambien sus datos de acceso y evitan así que los piratas informáticos puedan tomar el control de la cuenta. En esta ocasión, los datos parecen ser verdaderos ya que muchos usuarios han publicado en la red accesos no autorizados e incluso cambios en sus listas de canciones guardadas.

Por el momento todo esto sigue en el aire. Algunos expertos de seguridad aseguran que, si Spotify, de verdad, no ha sido comprometido, solo quedan 3 vectores de ataque posibles:

  • Los datos publicados son producto de una fuga de datos pasada.
  • Los datos han sido filtrados por otro servicio en línea que conecte con Spotify.
  • Los datos han sido robados directamente de los ordenadores de los afectados con malware o ingeniería social.

Sea como sea, se recomienda cambiar la contraseña, e incluso el correo electrónico, tanto de Spotify como de otras plataformas con los mismos credenciales para evitar que los piratas informáticos y los usuarios con acceso a la base de datos puedan intentar iniciar sesión en otras plataformas (por ejemplo, en el correo electrónico o las redes sociales) con esos mismos datos.

¿Has detectado actividad sospechosa en tu cuenta de Spotify?

Quizá te interese:

  • Spotify ofrece música gratis y sin publicidad, aunque sólo en Linux
  • Spotify amenaza a Syotify y otras webs basadas en Youtubify con acciones legales