Nos habéis preguntado si es cierto que la aplicación para móvil Houseparty, que permite chatear por vídeo y jugar online en grupo, haya sido hackeado y a raíz de ello se hayan comprometido otros servicios y aplicaciones como Netflix o Spotify y robando las credenciales de acceso, e incluso autorizando micropagos de entidades bancarias, como PayPal. Hay muy poca información oficial al respecto y la compañía niega el hackeo. Os explicamos.
Por el momento, no se han presentado evidencias de que Houseparty sea el origen de los supuestos hackeos
Los mensajes alertando en redes sociales de que Houseparty estaba ligado a un hackeo de una cuenta externa como Spotify, Netflix empezaron a viralizarse en España a media tarde del lunes (hora local). Los empezaron varios usuarios estadounidenses que aseguraban que les habían hackeado diversas cuentas o que les había pasado "a sus amigos".
Por el momento, no ha sido posible trazar el origen de las acusaciones a Houseparty, que es una aplicación que ahora gestiona la compañía Epic Games, la creadora del popular videojuego Fortnite, ya que nadie aporta pruebas de que la compañía sea la causante.
Muchos de los usuarios no solo han denunciado que se haya intentado acceder a su cuenta de Spotify en numerosas ocasiones (el servicio de música es uno de los más denunciados en Twitter), sino que se han cobrado importes no autorizados en su cuenta a través de PayPal, un servicio online de pago, o se han hackeado las cuentas. Tampoco en este caso se aporta ninguna prueba de que este hecho se vincule a Houseparty, más allá de los mensajes que están circulando por la red social.
El Insituto Nacional de Ciberseguridad de España no ha registrado aún (a 31 de marzo de 2020) casos de denuncias de cuentas de PayPal usurpadas o relacionadas con el incidente de Houseparty, según ha confirmado a Maldita.es.
Si has experimentado problemas con alguna de tus cuentas o con Houseparty directamente y tienes ejemplos que quieras mostrarnos, puedes escribirnos a [email protected].
La versión oficial de Houseparty: no ha habido hackeo y las contraseñas no se han comprometido
Desde el perfil oficial de la app en Twitter aseguran que "todas las cuentas Houseparty están seguras". Sostienen que "el servicio es seguro, nunca se ha visto comprometido" y que "no recopila contraseñas para otros sitios".
Debido a que las acusaciones en las redes sociales no cesaron, la compañía ha comunicado en un nuevo tuit que se está investigando que las denuncias procedan de una "campaña comercial para perjudicar a Houseparty". Acto seguido, ofrecen una recompensa de un millón de dólares para la persona que "pruebe que dicha campaña existe". Es decir, que no dan recompensa a quien pruebe el supuesto hackeo, sino a quien demuestre que esto se debe a una campaña de difamación contra Houseparty.
Un portavoz de la compañía Epic Games también realizó declaraciones a la BBC sobre el incidente: "No hemos encontrado evidencias que sugieran que Houseparty está relacionado con las cuentas externas comprometidas".
La Policía ha confirmado que no ha emitido ninguna alerta sobre Houseparty en Twitter
Muchos nos habéis hecho llegar un pantallazo de un supuesto tweet de la cuenta oficial de la Policía Nacional. En él se lee lo siguiente: "ATENCIÓN. Todas las personas que se hayan descargado la aplicación de Houseparty deberían borrarla de sus dispositivos móviles. Se ha filtrado que usan un algoritmo y al parecer este extrae las contraseñas de las cuentas bancarias, spotify... DIFUNDID!". El mensaje también incluye un enlace acortado en Bit.ly que supuestamente lleva a la noticia relacionada.
El tweet es falso: la URL que aparece en el pantallazo en realidad se corresponde con otro tweet de la Policía Nacional sobre un tema que no está relacionado: una detención a un varón durante el estado de alarma.
La Policía Nacional ha desmentido también esta publicación en un tweet propio, en el que incluyen la publicación falsa y la verdadera:
Si se confirma este tipo de brecha, la compañía tendrá que notificarlo a los usuarios y a las autoridades competentes
Tampoco hay constancia de que haya habido mensajes o algún comunicado por parte de la empresa hacia sus usuarios para alertar de que sus contraseñas hayan sido filtradas, una práctica que es clave en este tipo de casos y obligatoria para las compañías si se han puesto en riesgo sus datos personales de manera que "afecten a sus derechos y libertades" en el caso de Europa.
Hemos consultado con un abogado especializado en protección de datos y ciberseguridad, Sergio Carrasco, que nos ha señalado que las empresas que tienen constancia de que los datos personales de sus usuarios han sido comprometidos, deben notificarlo a las autoridades de control del país pertinente (artículo 33 del RGPD) y también a los usuarios (artículo 34).
"Las comunicaciones se hacen a los usuarios cuando se comprueba que ha habido datos personales puesto en riesgo o hay presunción de que haya sucedido. Si ellos entienden que no se ha producido, no notificarán nada, porque no queda probada esta incidencia", explica Carrasco.
Pese a que la compañía es estadounidense, si efectivamente se termina demostrando que ha habido una brecha de seguridad con los datos personales que maneja la compañía, los usuarios que utilicen el servicio en Europa deben ser notificados.
Medios estadounidenses especializados de Tecnología como The Next Web han reportado la "campaña de difamación" contra Houseparty que ha denunciado la compañía y otros medios de compañías de ciberseguridad como Panda Security también plantean esta hipótesis, debido a que la multa europea a la que se enfrentaría la compañía por asegurar que no ha habido filtración cuando sí la ha habido sería gigantesca.
Cambia las contraseñas de tus servicios más usados
Primer paso si crees que alguna de las plataformas que estás utilizando podrían haber sido comprometidas. Pese a que nos empeñemos en negarlo, muchas personas optamos por utilizar la misma contraseña para varios servicios o una que sea fácilmente identificable con nosotros: una fecha de cumpleaños, nombres de películas favoritas... Reutilizar las contraseñas para servicios populares es siempre un riesgo.
En Maldita.es recomendamos usar un gestor de contraseñas para poder tener claves diferentes y organizadas para cada servicio. Si no quieres optar por uno, al menos trata de hacer tus contraseñas lo más difíciles posibles: una buena técnica para recordar contraseñas eficaces es elegir una frase de la que vayamos a acordarnos siempre y usar las iniciales de las palabras. Por ejemplo: “El pasado 8 de febrero vi a Rosalía en concierto”, que podría convertirse en “Ep8d2vaRec”. Cuanto más largas y aleatorias, mejor.
Y en esta página, Have I Been Pwned, se puede comprobar si las cuentas que utilizas para darte de alta en algún servicio o app han sido comprometidas.