Freepik sufre un "incidente de seguridad" que compromete los correos y las contraseñas de 8 millones de sus usuarios

Un hacker en la Def Con de Las Vegas, en 2017.
Un hacker en la Def Con de Las Vegas, en 2017.
REUTERS/Steve Marcus
  • El banco de imágenes digitales nacido en Málaga ha sufrido un "incidente de seguridad" que ha comprometido correos y contraseñas de 8 millones de sus usuarios.
  • Aunque no hay confirmación oficial, los usuarios de la plataforma están recibiendo varios correos de la firma con pautas para segurizar sus credenciales.
  • El "incidente" también habría afectado, al menos, a una de sus otras marcas: Flaticon.
  • "Terceros" han tenido acceso a los correos de algunos usuarios, en unos casos; y al correo y a la contraseña —encriptada— de otros usuarios, detalla Freepik.
  • El incidente de seguridad llega apenas unos meses después de que el fondo EQT comprara la plataforma en una operación histórica.
  • Descubre más historias en Business Insider España.

Freepik ha sufrido una brecha de datos que ha expuesto las contraseñas de varios de sus usuarios.

Durante la tarde de este viernes, la compañía confirmó este extremo mediante un comunicado oficial. Desde el jueves, varios usuarios compartían en Twitter pantallazos de correos electrónicos que la firma les ha enviado para advertirles de que "terceros" han podido tener acceso a sus datos.

Estos correos son distintos en función de a lo que estos "terceros" han tenido acceso. Mientras que algunos usuarios están recibiendo advertencias por parte de Freepik de que tanto su contraseña como su correo electrónico se han visto comprometidos, otros reciben un correo en el que se les advierte de que los atacantes habrían tenido acceso únicamente al correo.

La brecha de seguridad habría afectado a Freepik y a al menos una de sus marcas, Flaticon. Cuenta la compañía en su comunicado que el ataque se produjo mediante una inyección SQL en las bases de datos de Flaticon.

Leer más: Los ciberdelincuentes no necesitan tener contraseñas para robar a empresas: así son algunos de los nuevos ataques informáticos, según el conocido hacker Chema Alonso

El programador Javier Padilla ha compartido en su Twitter uno de los pantallazos que Freepik ha remitido a sus usuarios. En el correo, la compañía aclara que los atacantes han tenido acceso a las direcciones de correo electrónico y a las contraseñas —estas últimas, encriptadas—.

Otra usuaria de Freepik ha recibido un correo al que ha tenido acceso Business Insider España en el que la startup aclara que "solo" encriptan las contraseñas de los usuarios "para evitar que sean legibles por terceras partes en caso de que se vean comprometidas".

En otras palabras: los atacantes habrían tenido acceso a un listado con las cuentas de correo electrónico de usuarios de Freepik sin cifrar. Las contraseñas, aunque hasheadas —encriptadas— también podrían estar en peligro en caso de que sean demasiado sencillas, motivo por el cual la compañía está recomendando a sus usuarios que seguricen sus credenciales.

En su comunicado, Freepik detalla que el incidente ha afectado a 8,3 millones de sus usuarios más antiguos, de los cuales 4,5 millones no tenían contraseña en forma hash "porque utilizaban exclusivamente inicios de sesión federados" —iniciaban sesión a través de sus cuentas de Google o de redes sociales—.

En las redes sociales la startup no está aclarando nada de forma pública: a todos aquellos que remiten una pregunta al perfil de Freepik en Twitter, este le responde invitándole a ponerse en contacto por correo electrónico con el servicio de soporte técnico.

 

"Con respecto a los 3,77 millones de usuarios restantes, el atacante ha tenido acceso a su email y a su contraseña en hash". De estos usuarios, 3,55 millones tenían la contraseña hasheada con bcrypt. 229.000 personas tenían sus contraseñas encriptadas con el método MD5 salado, motivo por el cual se han cancelado varias contraseñas.

Leer más: Comprueba si tus PDF o tus archivos Office tienen virus con esta herramienta gratuita de Telefónica Tech que hasta ahora utilizaban sus empleados de forma interna

Valga recordar que Freepik tiene 32 millones de usuarios mensuales y más de 5.000 millones de descargas en su plataforma, en la que ofrece 10 millones de recursos gráficos —iconos, vectores, fotografías y plantillas que muchos desarrolladores de apps emplean—.

Son los datos que el fondo privado EQT compartió en un comunicado de prensa a finales de mayo, en el que anunciaba la compra de esta startup malagueña. EQT se hizo con el control de Freepik por más de 200 millones de euros, según fuentes del mercado.

Joaquín Cuenca, uno de los fundadores de Freepik, dieron más detalles a Business Insider España sobre cómo lograron cerrar esta operación. Freepik facturó en 2019 31 millones de euros. Su venta ha sido una de las operaciones más grandes de la historia del ecosistema emprendedor en el país.

Este incidente de seguridad no es el único problema que afronta la compañía.

Hace días, noyb, la organización que lidera el activista Max Schrems, reclamó ante la Agencia Española de Protección de Datos que la web de Freepik sigue integrando un código de Google Analytics, lo que supone que se están derivando datos de usuarios europeos a Estados Unidos, a pesar de un fallo del TJUE que ha tumbado el marco regulatorio que contempla estas transferencias hacia EEUU.

LEER TAMBIÉN: Llega una ciclogénesis explosiva: qué es y cómo afectará a España

LEER TAMBIÉN: El iPhone 12 podría tener menos autonomía por culpa del 5G

LEER TAMBIÉN: Una universitaria de 26 años lanzó con 170 euros una marca de trajes de baño desde su casa que en un año ha generado 1,4 millones de ingresos: así lo consiguió

VER AHORA: “España necesita un cambio radical en el modelo educativo" si quiere capacitar a los alumnos para tener éxito profesional en el futuro, según el presidente de ISDI

    Más:

  1. Trending
  2. Startups
  3. Ciberseguridad
  4. Empresa
  5. Top
  6. España