Freepik sufre un "incidente de seguridad" que compromete los correos y las contraseñas de 8 millones de sus usuarios

Freepik ha sufrido una brecha de datos que ha expuesto las contraseñas de varios de sus usuarios.

Durante la tarde de este viernes, la compañía confirmó este extremo mediante un comunicado oficial. Desde el jueves, varios usuarios compartían en Twitter pantallazos de correos electrónicos que la firma les ha enviado para advertirles de que "terceros" han podido tener acceso a sus datos.

Estos correos son distintos en función de a lo que estos "terceros" han tenido acceso. Mientras que algunos usuarios están recibiendo advertencias por parte de Freepik de que tanto su contraseña como su correo electrónico se han visto comprometidos, otros reciben un correo en el que se les advierte de que los atacantes habrían tenido acceso únicamente al correo.

La brecha de seguridad habría afectado a Freepik y a al menos una de sus marcas, Flaticon. Cuenta la compañía en su comunicado que el ataque se produjo mediante una inyección SQL en las bases de datos de Flaticon.

Leer más: Los ciberdelincuentes no necesitan tener contraseñas para robar a empresas: así son algunos de los nuevos ataques informáticos, según el conocido hacker Chema Alonso

El programador Javier Padilla ha compartido en su Twitter uno de los pantallazos que Freepik ha remitido a sus usuarios. En el correo, la compañía aclara que los atacantes han tenido acceso a las direcciones de correo electrónico y a las contraseñas —estas últimas, encriptadas—.

Otra usuaria de Freepik ha recibido un correo al que ha tenido acceso Business Insider España en el que la startup aclara que "solo" encriptan las contraseñas de los usuarios "para evitar que sean legibles por terceras partes en caso de que se vean comprometidas".

En otras palabras: los atacantes habrían tenido acceso a un listado con las cuentas de correo electrónico de usuarios de Freepik sin cifrar. Las contraseñas, aunque hasheadas —encriptadas— también podrían estar en peligro en caso de que sean demasiado sencillas, motivo por el cual la compañía está recomendando a sus usuarios que seguricen sus credenciales.

En su comunicado, Freepik detalla que el incidente ha afectado a 8,3 millones de sus usuarios más antiguos, de los cuales 4,5 millones no tenían contraseña en forma hash "porque utilizaban exclusivamente inicios de sesión federados" —iniciaban sesión a través de sus cuentas de Google o de redes sociales—.

En las redes sociales la startup no está aclarando nada de forma pública: a todos aquellos que remiten una pregunta al perfil de Freepik en Twitter, este le responde invitándole a ponerse en contacto por correo electrónico con el servicio de soporte técnico.

"Con respecto a los 3,77 millones de usuarios restantes, el atacante ha tenido acceso a su email y a su contraseña en hash". De estos usuarios, 3,55 millones tenían la contraseña hasheada con bcrypt. 229.000 personas tenían sus contraseñas encriptadas con el método MD5 salado, motivo por el cual se han cancelado varias contraseñas.

Leer más: Comprueba si tus PDF o tus archivos Office tienen virus con esta herramienta gratuita de Telefónica Tech que hasta ahora utilizaban sus empleados de forma interna

Valga recordar que Freepik tiene 32 millones de usuarios mensuales y más de 5.000 millones de descargas en su plataforma, en la que ofrece 10 millones de recursos gráficos —iconos, vectores, fotografías y plantillas que muchos desarrolladores de apps emplean—.

Son los datos que el fondo privado EQT compartió en un comunicado de prensa a finales de mayo, en el que anunciaba la compra de esta startup malagueña. EQT se hizo con el control de Freepik por más de 200 millones de euros, según fuentes del mercado.

Joaquín Cuenca, uno de los fundadores de Freepik, dieron más detalles a Business Insider España sobre cómo lograron cerrar esta operación. Freepik facturó en 2019 31 millones de euros. Su venta ha sido una de las operaciones más grandes de la historia del ecosistema emprendedor en el país.

Este incidente de seguridad no es el único problema que afronta la compañía.

Hace días, noyb, la organización que lidera el activista Max Schrems, reclamó ante la Agencia Española de Protección de Datos que la web de Freepik sigue integrando un código de Google Analytics, lo que supone que se están derivando datos de usuarios europeos a Estados Unidos, a pesar de un fallo del TJUE que ha tumbado el marco regulatorio que contempla estas transferencias hacia EEUU.