El popular sitio web Reddit ha reconocido una ciberintrusión en algunos de sus sistemas, lo que permitió un acceso no autorizado a datos de usuarios, incluidas direcciones de correo electrónico actuales, así como a copias de seguridad de una base de datos del 2007 que contiene contraseñas cifradas.

Los ciberintrusos, por tanto, accedieron a datos “antiguos” de usuarios de Reddit, desde el lanzamiento del sitio en 2005 hasta mayo de 2007.

"Aunque se trata de un ataque serio, el atacante no obtuvo acceso a los sistemas Reddit [...] obtuvo acceso solo en modo lectura a algunos sistemas que contenían datos de back up, código fuente y otros registros", comentó el ingeniero fundador de Reddit, Christopher Slowe.

La brecha de seguridad tuvo su origen en una interceptación de algunos mensajes SMS en procesos de autenticación de dos pasos (2FA) de ciertos sus empleados, y que incluían códigos de inicio de sesión únicos.

"Hoy aprendimos que la autenticación basada en SMS no es tan segura como esperábamos […] y alentamos a todos los empleados a pasar a una autenticación 2FA basado en tokens", comentó Slowe, quien reconoció que Reddit supo el pasado 19 de junio que un atacante había comprometido algunas de las cuentas de sus empleados entre el 14 de junio y el 18 de junio.

La verificación en dos pasos mediante mensajes SMS se está demostrando como una herramienta insuficientemente segura, y son varias las grandes compañías que están desterrando este método en favor de otros más fiables. Tal es el caso de Instagram y Google, que buscan alternativas como las llaves físicas de seguridad, al men os para sus empleados que manejan información sensible o crítica. Pero conviene recordar siempre que la seguridad al 100% no existe.