Houseparty ha sido, sin duda, uno de los servicios protagonistas de la cuarentena. De ser una gran desconocida, esta aplicación de videollamadas de Epic Games con juegos para macOS, iOS y Android logró ocupar el primer puestos en la lista de aplicaciones más descargadas de la App Store y de la Google Play Store. En la primera, sigue tercera tras su rival zoom y Disney+.
Sin embargo, en el día de ayer, la imagen de Houseparty comenzó a torcerse, cuando muchos usuarios en redes sociales comenzaron a denunciar que sus cuentas de servicios como Spotify, Snapchat o Uber habían sido hackeadas a través de un hackeo a HouseParty.
Houseparty niega el hackeo y afirman que todas sus seguras
Tras el aluvión de mensajes afirmando que el hackeo estaba relacionada con HouseParty, desde el twitter oficial del servicio lanzaron un mensaje tranquilizador: "Todas las cuentas de Houseparty son seguras: el servicio es seguro, nunca se ha visto comprometido y no recopila contraseñas para otros sitios".
All Houseparty accounts are safe - the service is secure, has never been compromised, and doesn’t collect passwords for other sites.
— Houseparty (@houseparty) March 30, 2020
Hoy desde la compañía de Epic Games han ido más allá, y han llegado a afirmar que están investigando "indicios de que los recientes rumores de hacking se difundieron por una campaña comercial de difamación pagada para dañar a Houseparty." Como respuesta, afirman ofrecer "una recompensa de 1.000.000 de dólares a la primera persona que presente pruebas de dicha campaña".
We are investigating indications that the recent hacking rumors were spread by a paid commercial smear campaign to harm Houseparty. We are offering a $1,000,000 bounty for the first individual to provide proof of such a campaign to bounty@houseparty.com.
— Houseparty (@houseparty) March 31, 2020
Hay que recordar que con la entrada en vigor del Reglamento General de Protección de Datos (GDPR), hay obligación legal de avisar de las brechas de datos en un plazo de hasta 72 horas desde que estas se hayan detectado. De lo contrario, las compañías se enfrentan a cuantiosas multas.
Qué puede haber detrás de las quejas
En las redes sociales se están compartiendo muchas capturas de avisos de Spotify o Uber de accesos extraños a cuentas. Son esos correos electrónicos que recibimos cuando, viviendo en España, de repente nos conectamos en Moscú. La aplicación detecta un acceso extraño y nos lo notifica para que estemos al corriente, por si no somos nosotros
Que esos hackeos pueden existir es un hecho, porque cada día ocurren muchos de estos accesos maliciosos a cuentas. Que dichos hackeos tengan que ver con HouseParty es lo que nadie ha demostrado en redes sociales. Usuarios no relacionados con la seguridad informática se han lanzado a acusar a HouseParty sin que existe ningún informe profesional o con pruebas que apunte en esa dirección.
Es decir, podemos dar credibilidad a que muchos usuarios están recibiendo correos de Spotify con avisos de accesos maliciosos a las cuentas, pero no podemos decir que dichos accesos tengan que ver con un hackeo de HouseParty. Podría ser HouseParty, sí, pero también podría ser una hackeo de cualquiera de las otras grandes aplicaciones que casi todo el mundo tiene instalado en su smartphone. Con los datos que tenemos, de momento, no podemos saberlo.
Podríamos estar ante un caso de reutilización de contraseñas antiguas presentes en bases de datos de hacking. Es decir, que en cuentas de Uber, Snapchat o Apple (también se ha mencionado en algún caso) se hayan utilizado las mismas contraseñas y ahora un grupo de hackers haya decidido atacar usándolas. Pero, de nuevo, no hay evidencia de que el acceso a las contraseñas de HouseParty tenga relación con los otros casos.
Lo que sí podemos decir, como siempre, es que utilices doble factor de autenticación, que no utilices contraseñas repetidas en varios servicios, y que sí lo has hecho, las cambies cuanto antes. Recordemos que hace apenas un año se descubrieron siete colecciones con 3.500 millones de credenciales filtradas. Para comprobar si tu dirección de correo electrónico ha sido comprometida, recomendamos utilizar Have I Been Pwned?
