Mensaje de correo de WordPress.com aconseja a usuarios restablecer su contraseña

El popular servicio de blogs basado en la plataforma WordPress remitió el pasado fin de semana un aviso de seguridad importante a un número indeterminado de sus usuarios. El comunicado informa de que, entre julio de 2007 y abril de 2008, y entre septiembre de 2010 y julio de 2011, las contraseñas se han estado almacenando de un modo poco seguro, por tanto recomienda a los usuarios afectados modificarlas lo antes posible para prevenir posibles usos inadecuados de sus cuentas.

Comprensiblemente ha habido quien ha dudado de la legitimidad del aviso; también un usuario del foro de ayuda de WordPress.com quiso saber si era auténtico. Lo inesperado de la misiva, su carácter de urgencia, la ambigüedad de la dirección de envío (fácil de falsificar, además de que passwordcoupon suena a chiste, si se me permite la comparación) y la baja calidad de la redacción, una traducción aparentemente hecha deprisa y corriendo con evidentes fallos ortográficos y gramaticales, hacían sospechar de un posible ataque de phishing. Sin embargo, la observación de dos detalles significativos debilita la sensación de fraude. En primer lugar, los enlaces internos señalan directamente al dominio wordpress.com usando una conexión HTTPS, de modo que la información de restablecimiento de la contraseña viaja cifrada a través de la red. Por otra parte, muchos mensajes de phishing se caracterizan por incorporar saludos genéricos como “Estimado usuario” o cliente, o una dirección de destino diferente de la nuestra. En este caso ocurre al contrario: la comunicación se dirige al destinatario por el nombre y la dirección de correo registrados en su perfil. No obstante, los delincuentes podrían aprovecharse en cualquier momento de las “miguitas de pan” que vamos dejando aquí y allá para conferir mayor verosimilitud a sus campañas de phishing, o construir enlaces aparentemente inocuos que en realidad, a través de vulnerabilidades en aplicaciones web, inyecten falsos formularios de solicitud de credenciales que envíen los datos a un lugar distinto.

He aquí el texto:

Remite: «WordPress.com» <passwordcoupon@wordpress.com>
Asunto: Actualización de seguridad y descuento del 15% en WordPress.com

Hola <Usuario>,

Recientemente hemos encontrado y arreglado un fallo del que nos gustaría hablarte. Las contraseñas en WordPress.com se guardan de forma extremadamente segura, de forma que ni siquiere nuestros empleados pueden ver tu contraseña – esa con al que entras en tu cuenta de WordPress.com. Sin embargo, entre julio de 2007 y abril de 2008, y entre septiembre de 2010 y julio de 2011, un fallo en uno de los sistemas que se utilizan para encontrar y corregir errores den WordPress.com accidentalmente guardó contraseñas de algunos usuarios en un formato menos seguro.

Hemos actualizado nuestros sistemas para prevenir que las contraseñas se guarden de esta forma en el futuro, para que no vuelva a ocurrir. No tenemos ninguna evidencia de que se haya utilizado esta información de forma maliciosa, pero tu cuenta está entre las afectadas por este fallo y por seguridad vamos a resetear tu contraseña.

Por favor, cambia aquí tu contraseña o copia y cola este enlace en tu navegador:

<Enlace eliminado>

Si la contraseña que utilizaste cuando te registraste en WordPress.com es la utlizas en todos sitios, deberías cambiarla también. En el futuro, recuerda que es una buena práctica utilizar contraseñas diferentes y únicas para cada servicio.

Sentimos mucho el fallo. A nadie le gusta tener que crear nuevas contraseñas y queremos incluir un descuento del 15% para pediros perdón. este descuento puede utilizarse para dominios personalizados, mejoras de diseño, VideoPress o ampliación de espacio. Sólo tienes que utilizar el código que acompaña a este texto en cualquiera de las mejoras en la tienda de WordPress.com:

<Código de descuento eliminado>

Si tienes cualquier pregunta, contesta este mensaje para que nuestro equipo de Happiness te ayude.

Gracias
El equipo de WordPress.com

Una ingeniera de WordPress.com publicó el domingo la nota original en inglés para evitar más suspicacias. De todos modos, la forma más segura de convencerse es entrar directamente en WordPress.com e identificarse con la contraseña vigente, en vez de usar el enlace incluido en el mensaje. La página de escritorio de WordPress muestra un aviso al usuario afectado para que modifique la contraseña en la configuración de su perfil. Si no se ha recibido nada o no se observa ninguna nota especial al acceder al servicio, no se requiere llevar a cabo acción alguna aunque es aconsejable variar las contraseñas cada cierto tiempo.

Una cuenta de WordPress quizá no sea botín suficiente como para que un malhechor inicie una campaña de phishing, pero podría ayudarle a perpetrar otras actividades poco lícitas. Si recibimos repentinamente en nuestro correo electrónico alguna advertencia urgente relativa a problemas de contraseñas, cambios en la forma de operar algún servicio o cierres en breve plazo de cuentas inactivas o que no cumplan determinadas condiciones, deberíamos investigar si otras personas o medios de confianza confirman la autenticidad de la nota con pruebas suficientes o, por el contrario, evidencian la sospecha de un fraude. Si el mensaje contiene enlaces extraños a páginas web que se parecen mucho a las originales, no debemos confiar en las apariencias. En caso de duda, tecleemos en el navegador la dirección exacta del servicio aludido.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *