Si usas Spotify, el servicio de streaming más popular en España, tal vez deberías cambiar la contraseña; todo por culpa de un grupo de 'hackers' que no solo ha recopilado una gran cantidad de contraseñas, sino que las ha filtrado sin querer.
El problema en realidad es algo más básico y simple: que la mayoría de la gente usa la misma contraseña en varios servicios. Esto es algo que los 'hackers' y atacantes saben muy bien, y por eso, cada vez que hay una filtración de contraseñas se dedican a probarlas en varios sitios.
Tampoco ayuda que las contraseñas más usadas son inseguras, ni que sean tan simples que sea posible adivinarlas con investigar un poco a la víctima.
Contraseñas de Spotify
Es de esa manera que un grupo de 'hackers' consiguió recopilar aproximadamente 350.000 contraseñas de Spotify. No es que el servicio haya sido 'hackeado', sino que los atacantes usaron listas de contraseñas robadas de otros sitios y las comprobaron para crear una base de usuarios que saben que pueden atacar.
Hacer algo como esto es realmente simple, y no es necesario tener conocimientos avanzados de ciberseguridad; solo hace falta paciencia y gente dispuesta a ayudar a comprobar las contraseñas, o mejor aún, usar un algoritmo para que lo haga por su cuenta.
Una base de datos con semejante cantidad de contraseñas puede ser muy valiosa, si se usa correctamente. Por ejemplo, vendiendo el acceso a cuentas Premium, para disfrutar de las ventajas de Spotify sin pagar. En los últimos años esto se está usando para manipular los resultados de los servicios de streaming; los 'hackers' cobran por mejorar las visitas o reproducciones de una canción a cambio de un pago.
Pero se nota mucho que este grupo no tenía estos conocimientos, porque cometieron un error básico a la hora de almacenar estas contraseñas: no pusieron contraseña al servidor.
Hackers hackeados
Eso significa que cualquiera podía ver esas contraseñas, sin necesidad de hacer nada, directamente desde el navegador. El mayor desafío era encontrar el servidor, pero eso tampoco es demasiado difícil para quienes van buscando específicamente servidores con mala seguridad. Los investigadores que han descubierto el servidor no pueden saber si otros lo encontraron antes, o si hicieron una copia de las contraseñas.
Por todo esto, Spotify ha enviado un correo a los usuarios que aparecían en la base de datos, pidiéndoles que cambien la contraseña; también es recomendable cambiar la contraseña de Spotify si es la misma que usamos en otro servicio, además de seguir otros trucos para una contraseña segura.
El aspecto positivo de este descubrimiento es que puede ayudar a bloquear futuros robos de cuentas; entre la información encontrada se encuentran las direcciones IP usadas para acceder al servidor, que asocian a los atacantes con unos servidores 'proxy' usados por este tipo de grupos, lo que podría permitir bloquear el acceso en el futuro.