Reddit ha sido víctima de un incidente de seguridad. Las medidas de protección de la plataforma, que está valorada en unos 10.000 millones de dólares, no han sido completamente efectivas para esquivar un ataque de phishing, y ahora lamenta las consecuencias. Acceso no autorizado a su sistema interno, robo de documentos, código y datos comerciales.
Viendo la noticia desde esa perspectiva, y sin añadir información de contexto, podríamos escandalizarnos. Pero lo cierto es que las empresas están cada vez más expuestas al accionar de los ciberdelincuentes, y los empleados suelen ser el ‘talón de Aquiles’ de los departamentos de seguridad, incluso en los de empresas con presupuestos millonarios.
Los atacantes de Reddit utilizaron las técnicas empleadas en la mayoría de los ataques de phishing, solo que dirigidas específicamente al portal para aumentar su tasa de efectividad. En concreto, de acuerdo a la versión oficial de la compañía, algunos empleados recibieron un correo electrónico falso pero con “indicaciones plausibles” para llevarlos a la intranet.
Desconocemos el contenido del mensaje, pero los actores malintencionados suelen recurrir a peticiones de jefes o superiores falsas, que generalmente deben realizarse lo antes posible. En cualquier caso, uno de los empleados mordió el anzuelo (entiéndase en relación al nombre figurativo de phishing) y acabó regalando sus credenciales de acceso.
El enlace del correo electrónico no enviaba a un destino legítimo, sino a una página que clonaba el comportamiento del sistema utilizado en la red informática interna de Reddit. Sin percibir que estaba siendo engañado, este introdujo su nombre de usuario, contraseña y código de verificación en dos pasos (2FA), que fueron recibidos por los atacantes.
Con las credenciales en su poder, las personas detrás de este movimiento ilegal contra la plataforma entraron en sus sistemas y accedieron a información de uso interno, como documentos, códigos e información comercial y de la plantilla. En el caso de esto último, se expusieron datos de contacto “limitados” de anunciantes y empleados, actuales y anteriores.
El departamento de seguridad de la empresa no había percibido nada extraño, precisamente porque este tipo de ataques tiene esa finalidad. Sin embargo, el empleado fue el encargado de avisar que había sido víctima de un ataque, lo que permitió tomar medidas para mitigar el alcance del ataque, como revocar las credenciales que habían sido robadas.
Reddit asegura que las contraseñas y cuentas de sus usuarios no se ha visto afectadas. Sin embargo, recomienda a quienes utilizan la plataforma que adopten la autenticación en dos pasos, cambien sus contraseñas aproximadamente cada dos meses y utilicen gestores de contraseñas (aunque estos últimos tampoco son perfectos: ‘Hola LastPass‘).