Actualizado el 28 de mayo de 2019

 

Recientemente hemos identificado y resuelto en Flipboard un incidente de seguridad que afecta a un subconjunto de datos de usuario. Sabemos que la transparencia es importante para nuestra comunidad, por lo que hemos creado esta página para compartir lo que hemos aprendido de nuestra investigación, las medidas que hemos tomado y los pasos que los usuarios pueden dar como respuesta.

 

Lo que pasó

Recientemente identificamos el acceso no autorizado a algunas de nuestras bases de datos que contienen cierta información de cuenta de los usuarios de Flipboard, incluidas la información de acceso a la cuenta. En respuesta a este descubrimiento, iniciamos inmediatamente una investigación y se contrató a una empresa externa de seguridad para que nos ayudara. Los resultados de la investigación indican que entre el 2 de junio de 2018 y el 23 de marzo de 2019 y el 21 y el 22 de abril de 2019, una persona no autorizada logró acceso a algunas bases de datos que contenían información sobre el usuario de Flipboard y podría haber obtenido copias de ellas.

 

De qué información se trataba

Las bases de datos implicadas contenían la información de la cuenta de algunos de nuestros usuarios, el nombre de usuario de Flipboard, la contraseña protegida criptográficamente y la dirección de correo electrónico.

Flipboard siempre ha protegido las contraseñas criptográficamente utilizando una técnica conocida por los expertos en seguridad como salted hashing (resumen criptográfico con sal). La ventaja de los resúmenes criptográficos de las contraseñas es que nunca tenemos que guardar las contraseñas en texto llano. Además, el uso de una sal única para cada contraseña en combinación con los algoritmos del resumen criptográfico hace que sea muy difícil descifrar esas contraseñas y exige importantes recursos informáticos para hacerlo. Si los usuarios crearon o cambiaron su contraseña después del 14 de marzo de 2012, esta está resumida con una función llamada bcrypt. Si los usuarios no han cambiado su contraseña desde entonces, se sala y se resume de manera diferente para cada una con SHA-1.

Además, si los usuarios conectaron sus cuentas de Flipboard a una cuenta de terceros, incluidas las cuentas de redes sociales, es posible que las bases de datos contengan identificadores (tokens) digitales utilizados para conectar la cuenta de Flipboard de ellos con esa cuenta de terceros. No hemos encontrado ninguna prueba de que la persona no autorizada haya logrado acceso a cuentas de terceros conectadas a las cuentas de Flipboard de los usuarios. Como medida de precaución hemos reemplazado o eliminado todos los identificadores digitales.

Es importante destacar que no recogemos de los usuarios, y este incidente no involucra, números de Seguro Social ni otros documentos de identidad expedidos por el Gobierno, cuentas bancarias, tarjetas de crédito ni otra información financiera.

 

Lo que estamos haciendo

Como medida de precaución hemos vuelto a configurar las contraseñas de todos los usuarios, a pesar de que las contraseñas estaban protegidas criptográficamente y no toda la información de la cuenta de los usuarios se vio involucrada. Puede seguir utilizando Flipboard en los dispositivos desde los que ya ha iniciado sesión. Cuando entre a su cuenta de Flipboard desde un dispositivo nuevo, o la próxima vez que inicie sesión en Flipboard después de salir de su cuenta, se le pedirá que cree una contraseña nueva.

Como otro paso preventivo desconectamos los identificadores utilizados para conectar con todas las cuentas de terceros y, en colaboración con nuestros socios, reemplazamos todos los identificadores digitales o los eliminamos cuando correspondía hacerlo.

Además, para ayudar a evitar que algo así ocurra en el futuro, hemos implementado medidas de seguridad mejoradas y seguimos buscando formas adicionales de reforzar la seguridad de nuestros sistemas. También notificamos a las autoridades.

 

Lo que usted puede hacer

Puede seguir utilizando Flipboard sin necesidad de tomar ninguna otra medida. Sin embargo, la próxima vez que inicie sesión en su cuenta notará que es necesario actualizar la contraseña de su cuenta de Flipboard. Encontrará instrucciones en nuestra página de soporte (cuyo enlace aparece más abajo) que explican cómo crear una nueva contraseña. Además, si utiliza el mismo nombre de usuario y la misma contraseña que creó para Flipboard en algún otro servicio en línea, le recomendamos que cambie su contraseña allí también.

Si ha conectado su cuenta de Flipboard a una cuenta de terceros para ver su contenido, es posible que en algunos casos tenga que volver a conectarla. En nuestra página de soporte también encontrará instrucciones sobre cómo hacerlo.

 

¿Dónde puede encontrar más información?

Lamentamos profundamente que haya sucedido este incidente. Para obtener más información hemos elaborado una lista de preguntas frecuentes sobre el incidente más abajo en esta página. Si necesita más ayuda seleccione Contact (Contacto) en nuestro Help Center (Centro de ayuda).

 

===

PREGUNTAS FRECUENTES

 

¿Mi información de usuario de Flipboard se vio afectada por el incidente?

No toda la información de la cuenta de los usuarios de Flipboard se vio afectada por el incidente. Estamos en proceso de identificar las cuentas afectadas y, como precaución, restablecimos las contraseñas de todos los usuarios y reemplazamos o eliminamos todos los identificadores digitales.

 

¿Qué información se podría haber visto afectada por este incidente?

Los siguientes tipos de información estaban en la base de datos en cuestión:

  • nombres de usuario;
  • contraseñas resumidas y saladas de forma única; y
  • para algunos usuarios de Flipboard, direcciones de correo electrónico e identificadores digitales que vinculan cuentas de terceros con la cuenta de Flipboard del usuario.

La gran mayoría de las contraseñas se encriptaron con un programa llamado bcrypt. Para los usuarios de Flipboard que no han iniciado sesión en su cuenta desde el 14 de marzo de 2012, las contraseñas se protegieron con SHA-1 y se salaron de forma diferente cada una.

Si conectó su cuenta de Flipboard a una cuenta de terceros, incluidas las cuentas de redes sociales, es posible que las bases de datos contengan identificadores digitales utilizados para conectar su cuenta de Flipboard a esa cuenta de terceros. Como medida de precaución hemos reemplazado o eliminado todos los identificadores digitales para eliminar toda posibilidad de uso indebido.

Fundamentalmente, Flipboard no recoge información de los usuarios y este incidente no afecta a identificaciones expedidas por el Gobierno (como números de Seguro Social o números de licencias de conducir), ni tarjetas de pago, cuentas bancarias u otra información financiera.

 

¿Qué han hecho para evitar que ocurra un incidente similar en el futuro?

Para ayudar a evitar que algo así ocurra en el futuro hemos implementado medidas de seguridad mejoradas y seguimos buscando formas adicionales de reforzar la seguridad de nuestros sistemas. Por razones de seguridad no podemos facilitar información detallada al respecto.

 

¿Qué es una contraseña encriptada (hashed)?

Cuando una contraseña se encripta se convierte en una cadena de caracteres de apariencia aleatoria a través de algoritmos criptográficos. Se trata de una función unidireccional que no se puede descifrar con una clave concreta. La ventaja de tener contraseñas encriptadas es que nunca necesitamos guardarlas en texto simple. Además, el uso de una sal diferente para cada contraseña en combinación con los algoritmos de resúmenes criptográficos hace que sea muy difícil descifrar esas contraseñas y exige importantes recursos informáticos para hacerlo.

 

¿Qué es “bcrypt”?

Bcrypt es un mecanismo adaptativo de resumen criptográfico de contraseñas que utiliza un algoritmo criptográfico de cifrado por bloques y otras características de seguridad, entre otras, múltiples tandas de computación para proporcionar protección avanzada contra el descifrado de contraseñas.

 

¿Qué es el salado de contraseñas?

Añadir “sal” a una contraseña resumida criptográficamente proporciona un elemento adicional de seguridad, concretamente contra ataques de fuerza bruta. Las sales que se utilizaron en Flipboard fueron diferentes para cada usuario.

 

¿Qué es un identificador (token) digital?

Los usuarios de Flipboard pueden conectar sus cuentas de Flipboard a sus cuentas con terceros, entre otras, a cuentas de redes sociales y cuentas de editores. Cuando se realiza una conexión de este tipo se crea un identificador digital. El identificador digital establece una conexión diferente entre la cuenta de Flipboard de cada usuario y la cuenta de redes sociales que permite al usuario ver el contenido de esos terceros en Flipboard. En algunos casos, también permite a los usuarios comentar o compartir artículos de Flipboard con sus cuentas con terceros. Flipboard reemplazó o eliminó todos los identificadores digitales de sus usuarios porque algunos de esos identificadores estaban en las bases de datos afectadas. Es posible que los usuarios de Flipboard tengan que volver a autentificar o a reconectar su cuenta de Flipboard para que se genere un nuevo identificador digital y volver a ver el contenido de estas cuentas.

 

¿Cuándo se dieron cuenta ustedes de este incidente?

El 23 de abril de 2019, nuestro equipo de ingeniería identificó la actividad no autorizada que ocurrió el 21 y 22 de abril de 2019.  En ese momento estábamos investigando una actividad sospechosa que se había producido el 23 de marzo de 2019.

 

¿Cómo se dieron cuenta del incidente?

Nuestro equipo de ingenieros se dio cuenta del incidente después de identificar actividades sospechosas en el entorno en el que residen las bases de datos.

 

¿Se vieron afectadas todas las cuentas de usuario de Flipboard?

No. No todas las cuentas de los usuarios de Flipboard se vieron afectadas por el incidente. Sin embargo, como medida de precaución, restablecimos las contraseñas de todos los usuarios. Si tiene una cuenta de Flipboard, se le envió una notificación por correo electrónico desde Flipboard a la dirección de correo electrónico asociada con su cuenta de Flipboard. La línea del asunto el correo era “Aviso de seguridad de Flipboard”.

 

¿Cuántas cuentas se vieron afectadas?

Todavía estamos en el proceso de establecer la cantidad total, pero sabemos que no todas las cuentas se vieron comprometidas.

 

Si utilizo Twitter, Google, Samsung o Facebook para acceder a mi cuenta de Flipboard, ¿puedo seguir haciéndolo? ¿Necesito restablecer mi contraseña?

Si utiliza Twitter, Google, Samsung o Facebook para acceder a su cuenta de Flipboard puede continuar haciéndolo. Su contraseña no se guarda en nuestra base de datos y hemos rotado los identificadores digitales.

 

¿Han informado a las autoridades de este incidente?

Sí, lo notificamos a las autoridades.

 

Si se trata de mis datos, ¿qué riesgo corro? ¿Podrían robar mi identidad?

Flipboard no recoge información personal sensible de los usuarios, como identificaciones expedidas por el Gobierno (como números de Seguro Social y números de licencias de conducir), ni tarjetas de pago, cuentas bancarias u otra información financiera.

Como precaución le recomendamos que cambie cualquier contraseña que utilice para otras cuentas si es igual o similar a su contraseña en Flipboard. Debería cambiar periódicamente todas las contraseñas y no usar las mismas ni similares para diferentes cuentas en línea.

 

¿Se pueden utilizar los identificadores digitales para tener acceso a mis cuentas con terceros?

Flipboard reemplazó o eliminó todos los identificadores digitales. Esos identificadores ya no son válidos y, por lo tanto, no se pueden utilizar de forma inadecuada. Antes de que se reemplazaran o eliminaran los identificadores digitales, el acceso que la persona no autorizada pudo haber tenido a las cuentas con terceros vinculadas a las cuentas de Flipboard varía según el tipo de cuenta vinculada, así como según los permisos que el usuario autorizó al vincularla a su cuenta de Flipboard, pero es posible que haya permitido que la persona no autorizada leyera o hiciera publicaciones y mensajes en la cuenta y tuviera acceso a alguna información de la cuenta de usuario, como el nombre de usuario, la información del perfil, las publicaciones en el sitio y las conexiones. En algunos casos, este acceso también permitió realizar algunos cambios en esta información, como invitar a nuevas personas a conectarse. No hemos encontrado ninguna prueba de que la persona no autorizada haya logrado acceso a cuentas de terceros conectadas a sus cuentas de Flipboard.

 

¿Es seguro seguir utilizando mi cuenta de Flipboard?

Sí. Hemos restablecido las contraseñas de todos los usuarios y eliminado todos los identificadores digitales asociados con las cuentas de los usuarios para que pueda seguir utilizando Flipboard de forma segura.

Cuando intente iniciar sesión en su cuenta de Flipboard observará que la contraseña de su cuenta de Flipboard ya no es válida.  Si utiliza una dirección de correo electrónico para iniciar sesión en su cuenta de Flipboard le enviamos un correo electrónico con instrucciones sobre cómo crear una nueva contraseña y volver a vincular sus cuentas de redes sociales.

Si utiliza su cuenta de Twitter, Facebook, Samsung o Google para acceder a su cuenta de Flipboard, el proceso de inicio de sesión sigue siendo seguro y no es necesario cambiar la contraseña.

 

¿Cómo puedo restablecer mi contraseña?

Si está en la Web puede restablecer su contraseña en https://accounts.flipboard.com/. Tenga en cuenta que para restablecer su contraseña tendrá que acceder a la dirección de correo electrónico asociada a su cuenta de Flipboard.

Si está en su dispositivo móvil realice los pasos siguientes en la aplicación Flipboard:

Para teléfonos Android:

1. En la página de inicio de sesión, seleccione Get Started (comenzar) y a continuación, Login (iniciar sesión) en la esquina superior derecha;

2. Seleccione Email (correo electrónico) y escriba la dirección de correo electrónico asociada a Flipboard.

3. Seleccione Forgot username or password? (¿Olvidó su nombre de usuario o contraseña?) para abrir la página de Account Help (Ayuda con la cuenta);

4. Seleccione Forgot Password? (¿Olvidó su contraseña?);

5. Ingrese el correo electrónico de su cuenta;

6. Pulse Send (enviar).

Para teléfonos Apple:

1. En la página de inicio de sesión, seleccione Login (iniciar sesión) en la esquina superior derecha y, a continuación, Log in with Email (iniciar sesión con correo electrónico);

2. Seleccione Forgot your password?  (¿Olvidó su contraseña?) para abrir la página de Account Help (Ayuda con la cuenta);

3. Seleccione Forgot your password? (¿Olvidó su contraseña?);

4. Ingrese el correo electrónico de su cuenta;

5. Pulse Send (enviar).

Para el Apple iPad:

1. Empiece por seleccionar Already have an account? (¿Ya tiene una cuenta?) Log In (iniciar sesión);

2. Seleccione Need Help? (¿Necesita ayuda?) para abrir la página Account Help (ayuda con la cuenta);

3. Seleccione Forgot Password? (¿Olvidó su contraseña?)

4. Ingrese el correo electrónico de su cuenta;

5. Pulse Send (Enviar).

Para las tabletas Android:

1. Comience seleccionando Existing Account? (¿ya tiene una cuenta?) Tap to log in (pulse para iniciar sesión);

2. Seleccione Email (correo electrónico) y escriba la dirección de correo electrónico asociada a Flipboard;

3. Seleccione Forgot username or password? (¿Olvidó su nombre de usuario o contraseña?) para abrir la página de Account Help (ayuda con la cuenta);

4. Seleccione Forgot Password? (¿Olvidó su contraseña?)

5. Ingrese el correo electrónico de su cuenta;

6. Pulse Send (enviar).

Asegúrese de restablecer pronto su contraseña, ya que el enlace caducará dentro de algún tiempo. Si el enlace para restablecer la contraseña ya no funciona, puede volver a enviar un correo electrónico para restablecerla. Le recomendamos que actualice su contraseña de vez en cuando para ayudar a garantizar la seguridad de la cuenta.

Si necesita más ayuda seleccione Contact Us (contáctenos) en la página de Account Help (ayuda con la cuenta) o envíenos un correo electrónico desde aquí.

 

¿Cómo reconecto mi cuenta de Flipboard con mis cuentas de redes sociales?

Flipboard reemplazó o eliminó todos los identificadores digitales de sus usuarios porque algunos de esos identificadores estaban en las bases de datos afectadas. En la mayoría de los casos, esto no afectará a su acceso, pero existe la posibilidad de que necesite restablecer la conexión para ver su feed.

A continuación se explica cómo reconectar su cuenta social a Flipboard para iOS:

1. Pulse sobre la pestaña Following (siguiente);

2. Seleccione Accounts (cuentas);

3. Seleccione el servicio que desea reconectar;

4. Introduzca la información de inicio de sesión para su cuenta social.

Nota: En el iPad, pulse la “cinta roja” > seleccione Following (siguiente) > seleccione Accounts (cuentas).

A continuación se explica cómo volver a conectar su cuenta social a Flipboard en Android:

1. Pulse sobre la pestaña Profile (perfil);

2. Pulse Settings (configuración);

3. Seleccione Accounts (cuentas);

4. Seleccione el servicio que desea reconectar;

5. Introduzca la información de inicio de sesión para su cuenta social.

Nota: En la tableta Android, abra la página de su perfil > pulse Settings (configuración) > seleccione Accounts (cuentas).

Ahora tiene una nueva sesión con su cuenta social y puede volver a usarla como de costumbre.

Si necesita más ayuda seleccione Contact (contacto) en nuestro Help Center (centro de ayuda).

 

¿Debo restablecer también las contraseñas del resto de mis cuentas?

Su contraseña de Flipboard estaba protegida criptográficamente. Sin embargo, como precaución adicional le recomendamos que cambie su contraseña en cualquier otro sitio o cuenta en la que utilice la misma información de inicio de sesión. La mejor práctica es utilizar una contraseña diferente para cada servicio.

 

¿Cómo sabré que la notificación que recibí por correo electrónico es de Flipboard?Queremos que esté seguro de que la notificación que puede recibir por correo electrónico es de Flipboard. El correo electrónico provendrá de la siguiente dirección: security-notification@flipboard.com. También queremos que sepa que cuando otras empresas han enviado notificaciones como esta, hay quienes las utilizan para tratar de engañar a las personas para que proporcionen información sobre sí mismos mediante el uso de enlaces a sitios web falsos (phishing) o haciéndose pasar por alguien en quien confían (ingeniería social). Tenga en cuenta que el correo electrónico que pueda recibir de nosotros no contendrá ningún archivo adjunto ni le solicitará ninguna información y los enlaces solo le volverán a conducir a esta página web.