La aplicación de aprendizaje de idiomas Duolingo fue pirateada, por lo que los ciberdelincuentes podrían tener acceso a su nombre y ubicación. He aquí por qué eso es importante.
Duolingo es una de las aplicaciones de aprendizaje de idiomas más populares del mundo y cuenta con decenas de millones de usuarios activos mensuales. Sin embargo, a principios de 2023, se supo que Duolingo había sufrido una violación de datos que expuso los datos de más de 2,5 millones de usuarios.
La infracción filtró información pública y privada de los usuarios, incluidos nombres reales, direcciones de correo electrónico, números de teléfono y cursos inscritos. Esto es lo que necesita saber.
La filtración de datos de Duolingo: ¿Qué pasó?
El público se enteró del problema en enero de 2023, cuando se pusieron a la venta datos de 2,6 millones de cuentas de clientes en un foro de piratería por 1.500 dólares.
El foro ya está cerrado. Sin embargo, los investigadores de seguridad de VX-Underground descubrieron que los datos se vendían en una nueva versión del foro por ocho créditos del sitio, lo que se traduce en alrededor de 2,13 dólares.
El hacker afirma haber extraído los datos de una API expuesta y haber compartido una muestra de 1000 cuentas. El atacante probablemente introdujo direcciones de correo electrónico de infracciones anteriores en la API para comprobar si estaban vinculadas a cuentas activas de Duolingo, creando un conjunto de datos con datos públicos y no públicos.
La explicación de un portavoz de Duolingo es que los datos fueron extraídos de la información del perfil público. Sin embargo, es difícil aceptar esta afirmación por completo, ya que los datos extraídos incluían los nombres reales de los usuarios, inicios de sesión públicos, progreso en el aprendizaje de idiomas y direcciones de correo electrónico, que normalmente no son públicas.
¿Quién se vio afectado por el hack de Duolingo?
De acuerdo a una investigación de Surfshark, la filtración de datos de Duolingo afectó con mayor fuerza a EE. UU. y afectó a casi 1 millón de cuentas. Sudán del Sur ocupó el segundo lugar con 175.000 cuentas afectadas, seguido de España (123.000), Francia (105.000) y el Reino Unido (98.000).
En cada cuenta de correo electrónico comprometida se filtraron alrededor de cinco puntos de datos, incluido su nombre, nombre de usuario, foto de perfil, idioma y país. En algunos casos, todos los detalles de un usuario quedaron expuestos.
¿Qué sucede a continuación con los datos extraídos?
Los corredores de datos a menudo recopilan datos de redes sociales extraídos y los venden a terceros para diversos fines, incluido el marketing. Sin embargo, los ciberdelincuentes pueden utilizar los datos filtrados de los usuarios de Duolingo para ejecutar ataques de ingenieria social, como ataques de phishing dirigidos, que utilizan los nombres reales de las víctimas y direcciones de correo electrónico válidas.
Los afectados podrían recibir correos electrónicos de phishing personalizados, como cursos de idiomas con descuento, gracias a los nombres filtrados, el progreso de los cursos de Duolingo y los detalles del país de origen. Estos correos electrónicos también podrían incluir invitaciones de viaje a países donde se habla el idioma que estás aprendiendo.
Los ciberdelincuentes también pueden hacerse pasar por Duolingo y enviar correos electrónicos con enlaces a lo que parece ser la versión paga de Duolingo o un curso premium. Si hace clic en estos enlaces e ingresa sus datos de pago, el atacante puede robar su información.
Cómo lidiar con la filtración de datos de Duolingo
La eliminación de datos de sitios web y aplicaciones es un problema bien conocido que afecta a muchas empresas tecnológicas importantes. Por ejemplo, en abril de 2021, Se extrajeron datos de alrededor de 500 millones de usuarios de LinkedIn..
Si sospecha que sus datos se filtraron durante la infracción, existen pasos que puede seguir para solucionarlo. Uno de ellos es verificar si su información fue comprometida por visitando el sitio web de HaveIBeenPwned. Esto afirma que todos los datos de Duolingo violados ya estaban en su base de datos.
Para evitar el phishing, inspeccione cuidadosamente los correos electrónicos, especialmente los urgentes. Verifique las direcciones de los remitentes, no haga clic en enlaces y archivos adjuntos sospechosos y considere instalar software antivirus para obtener una protección mejorada contra el malware en los correos electrónicos de phishing.
Cuidado con los ataques de suplantación de identidad y nunca comparta información confidencial como nombres de usuario y contraseñas por correo electrónico, ya que Duolingo no solicita dichos detalles en los correos electrónicos. Además, siga los consejos de los proveedores, cambie su contraseña y considere configurar la autenticación de dos factores.
¿Qué pasa si no estás seguro de las medidas de seguridad que tomó Duolingo para proteger los datos de los usuarios? ¿O quizás tienes dudas sobre la eficacia de tus acciones? En ese caso, puedes probar otras aplicaciones para aprender idiomas.
Proteja sus datos y fortalezca sus defensas
Las violaciones de datos se han vuelto cada vez más comunes y los datos robados pueden servir para diversos fines, desde marketing hasta ataques cibernéticos, incluidos intentos de phishing. Actualmente, los actores maliciosos tienen acceso a la información de muchos usuarios de Duolingo, incluidos sus nombres reales y direcciones de correo electrónico.
Para abordar las violaciones de datos, los usuarios deben tomar medidas proactivas, incluido aprender a identificar posibles violaciones e intentos de suplantación de identidad y combatir los ataques de phishing.