Actualizado el 28 de mayo de 2019

 

Flipboard ha identificado y abordado recientemente un incidente de seguridad en relación con un subconjunto de datos de usuarios. Sabemos que la transparencia es importante para nuestra comunidad y hemos creado esta página para compartir lo que hemos averiguado en nuestra investigación, las medidas que hemos adoptado y los pasos que pueden seguir los usuarios en respuesta al mismo. 

 

Lo que ha sucedido

Recientemente identificamos accesos no autorizados a algunas de nuestras bases de datos que contienen información de cuenta de ciertos usuarios de Flipboard, incluidos datos sobre las credenciales de sus cuentas. En respuesta a este descubrimiento, iniciamos inmediatamente una investigación y contratamos una empresa especializada en materia de seguridad para recibir asistencia. Los resultados de la investigación indican que una persona no autorizada accedió y probablemente obtuvo copias de ciertas bases de datos que contienen información de usuarios de Flipboard entre el 2 de junio de 2018 y el 23 de marzo de 2019 y entre el 21 al 22 de abril de 2019.

 

De qué información se trataba 

Las bases de datos afectadas contenían algunos datos de la cuenta de nuestros usuarios, como el nombre, el nombre de usuario de Flipboard, la contraseña protegida criptográficamente y la dirección de correo electrónico.

Flipboard siempre ha protegido las contraseñas criptográficamente utilizando una técnica conocida por los expertos en seguridad como «salted hashing». La ventaja de proteger contraseñas con código hash es que nunca necesitamos almacenarlas en texto sin formato. Asimismo, el uso de una sal única para cada contraseña en combinación con los algoritmos de hash hace que sea muy difícil y requiere importantes recursos informáticos para descifrar estas contraseñas. Si los usuarios crearon o cambiaron sus contraseñas después del 14 de marzo de 2012, ya están protegidas por un algoritmo hash con una función denominada bcrypt. Si no han cambiado sus contraseñas desde entonces, ya tienen la protección exclusiva de sal y hash con SHA-1.

Además, si los usuarios conectaron su cuenta de Flipboard a una cuenta de terceros, incluidas las cuentas de redes sociales, es posible que las bases de datos contengan tokens digitales utilizados para conectar su cuenta de Flipboard a esa cuenta de terceros. No hemos encontrado prueba alguna de que la persona no autorizada accediera a alguna cuenta o cuentas de terceros conectada(s) a las cuentas de los usuarios de Flipboard. Como medida de precaución, hemos reemplazado o eliminado todos los tokens digitales.

Es importante aclarar que nosotros no recopilamos de los usuarios números de Seguridad Social ni otros datos sobre documentos de identidad emitidos por el gobierno, cuentas bancarias, tarjetas de crédito u otra información financiera, por consiguiente, este incidente no involucra dichos datos.

 

Qué estamos haciendo

Como medida de precaución, hemos restablecido todas las contraseñas de los usuarios, aun cuando estaban protegidas criptográficamente y no toda la información de la cuenta de los usuarios estaba involucrada. Puede seguir utilizando el Flipboard en los dispositivos desde los que ya ha iniciado sesión. Cuando acceda a su cuenta de Flipboard desde un dispositivo nuevo, o la próxima vez que inicie sesión en Flipboard después de salir de su cuenta, se le pedirá que cree una contraseña nueva.

Otra medida de precaución ha sido desconectar los tokens que servían para conectar a cuentas de terceros y, en colaboración con nuestros asociados, hemos reemplazado o eliminado todos los tokens digitales donde resultaba pertinente.

Asimismo, para contribuir a evitar que se repita un incidente como este en el futuro, hemos implementado medidas de seguridad mejoradas y seguimos buscando formas adicionales de reforzar la seguridad de nuestros sistemas. También hemos informado a las fuerzas del orden.

 

Lo que usted puede hacer

Puede seguir usando Flipboard sin más. Sin embargo, la próxima vez que que inicie sesión en su cuenta, observará que la contraseña de su cuenta de Flipboard necesita ser actualizada. Encontrará las instrucciones en nuestra página de soporte técnico (cuyo enlace figura a continuación) que explican cómo crear una nueva contraseña. Además, si usa el mismo nombre de usuario y contraseña que creó para Flipboard o cualquier otro servicio en línea, le recomendamos que también cambie su contraseña de dicho servicio.

Si ha conectado su cuenta de Flipboard a una cuenta de terceros para ver su contenido, en algunos casos observará que necesita reconectarla. En nuestra página de apoyo también encontrará instrucciones sobre la manera de hacerlo.

 

Dónde acudir para obtener más información

Lamentamos mucho que haya sucedido este incidente. Para ampliar la información, más adelante en esta página presentamos respuestas a las preguntas más frecuentes que nos llegan en torno al incidente. Si necesita más ayuda, seleccione Contactar en nuestro Centro de ayuda.

 

===

PREGUNTAS FRECUENTES

 

¿Se vio afectada mi información de usuario de Flipboard por el incidente?

No toda la información de cuenta de los usuarios de Flipboard se ha visto afectada por el incidente. Aún seguimos determinando qué cuentas se han visto afectadas pero, como precaución, hemos restablecido las contraseñas de todos los usuarios y hemos reemplazado o eliminado todos los tokens digitales.

 

¿Qué información podría haber estado involucrada en este incidente?

La base de datos afectada contenía los siguientes tipos de información:

  • nombres de usuarios;
  • contraseñas con protección hash y sal exclusiva; y
  • en el caso de algunos usuarios de Flipboard, direcciones de correo electrónico y tokens digitales que vinculan cuentas de terceros con la cuenta de Flipboard del usuario.

La gran mayoría de las contraseñas se cifraban con la utilidad llamada bcrypt. En el caso de los usuarios de Flipboard que no iniciaron sesión de su cuenta desde el 14 de marzo de 2012, las contraseñas estaban protegidas exclusivamente con sal y con SHA-1.

Si conectó su cuenta de Flipboard a una cuenta de terceros, incluidas las cuentas de redes sociales, es posible que las bases de datos contengan tokens digitales utilizados para conectar su cuenta de Flipboard a esa cuenta de terceros. Como medida de precaución, hemos reemplazado o eliminado todos los tokens digitales para suprimir toda posibilidad de uso indebido.

Cabe destacar que Flipboard no de los usuarios números de Seguridad Social ni otros datos sobre documentos de identidad emitidos por el gobierno, cuentas bancarias, tarjetas de crédito u otra información financiera, por consiguiente, este incidente no involucra dichos datos.

 

¿Qué se ha hecho para evitar que ocurra un incidente similar en el futuro?

Para contribuir a evitar que se repita un incidente como este en el futuro, hemos implementado medidas de seguridad mejoradas y seguimos buscando formas adicionales de reforzar la seguridad de nuestros sistemas. Por razones de seguuridad no compartimos detalles específicos.

 

¿Qué es una contraseña protegida con hash?

Cuando una contraseña está protegida con código hash, se convierte en una cadena de caracteres de apariencia aleatoria a través de algoritmos criptográficos. Se trata de una función unidireccional que no se puede descifrar con una clave específica. La ventaja de proteger contraseñas con código hash es que nunca necesitamos almacenarlas en texto sin formato. Asimismo, el uso de una sal única para cada contraseña en combinación con los algoritmos de hash hace que resulte muy difícil descifrar las contraseñas y que ello requiera considerables recursos informáticos.

 

¿Qué es “bcrypt”?

Bcrypt es un mecanismo adaptativo de codificación de contraseñas que utiliza un algoritmo criptográfico de cifrado por bloques y otras características de seguridad, incluidas múltiples rondas de computación, para proporcionar protección avanzada contra el desciframiento de contraseñas.

 

¿Qué es el salado de contraseñas?

Añadir «sal» a una contraseña hash proporciona una capa adicional de seguridad, específicamente contra ataques de fuerza bruta. Las sales utilizadas en Flipboard fueron únicas para cada usuario.

 

¿Qué es un token digital?

Los usuarios de Flipboard pueden conectar sus cuentas de Flipboard a cuentas de terceros, como redes sociales y cuentas de ditor. Cuando se realiza una conexión de este tipo, se crea un token digital. El token digital establece una conexión única entre la cuenta de Flipboard de un usuario y la cuenta de redes sociales que permite a los usuarios ver el contenido de esos terceros en Flipboard. En algunos casos, también permite a los usuarios comentar o compartir artículos del Flipboard con sus cuentas de terceros. Flipboard ha reemplazado o eliminado todos los tokens digitales de sus usuarios porque algunos de esos tokens estaban contenidos en las bases de datos afectadas. Es posible que los usuarios de Flipboard tengan que volver a autenticar o reconectar su cuenta de Flipboard, crear un nuevo token digital y volver a ver el contenido de estas cuentas.

 

¿Cuándo tuvieron conocimiento de este incidente?

El 23 de abril de 2019, nuestro equipo de ingenieros identificó la actividad no autorizada que sucedió durante el 21 y el 22 de abril de 2019. En ese momento estábamos investigando una actividad sospechosa que sucedió el 23 de marzo de 2019.

 

¿Cómo se enteraron del incidente?

Nuestro equipo de ingenieros se dio cuenta del incidente después de identificar actividades sospechosas en el entorno en el que se alojan las bases de datos.

 

¿Se vieron afectadas todas las cuentas de usuarios de Flipboard?

No. No todas las cuentas de los usuarios de Flipboard se vieron afectadas por el incidente. Sin embargo, como medida de precaución, hemos restablecido las contraseñas de todos los usuarios. Si tiene una cuenta de Flipboard, se le habrá enviado una notificación por correo electrónico desde Flipboard a la dirección de correo electrónico asociada con su cuenta. La línea del asunto del correo era «Aviso de Seguridad del Flipboard».

 

¿Cuántas cuentas se han visto afectadas?

Todavía estamos en el proceso de determinar la cifra total. Sabemos que no todas las cuentas se han visto afectadas.

 

Si utilizo Twitter/Google/Samsung/Facebook para acceder a mi cuenta de Flipboard, ¿puedo seguir haciéndolo? ¿Necesito restablecer mi contraseña?

Si utiliza Twitter/Google/Samsung/Facebook para acceder a su cuenta de Flipboard, puede seguir haciéndolo. Su contraseña no está almacenada en nuestra base de datos y hemos rotado los tokens digitales.

 

¿Han denunciado este incidente a las fuerzas de seguridad?

Sí, hemos informado a las fueras de seguridad.

 

Si mis datos se vieron afectados, ¿qué riesgo corro? ¿Podría robarse mi identidad?

Flipboard no recopila de los usuarios, y este incidente no involucra, identificaciones emitidas por el gobierno (tales como números de Seguridad Social o números de licencia de conducir), o tarjeta de pago, cuenta bancaria, u otra información financiera.

Como medida de precaución, le recomendamos que cambie cualquier contraseña que utilice para otras cuentas, si es igual o similar a la contraseña de su Flipboard. Le recomendamos cambiar regularmente todas las contraseñas y no usar las mismas contraseñas, o similares, para diferentes cuentas en línea.

 

¿Se pueden utilizar los tokens digitales para acceder a mis cuentas de terceros?

Flipboard ha reemplazado o eliminado todos los tokens digitales. Esos tokens ya no son válidos y por lo tanto no pueden utilizarse indebidamente. Antes de que los tokens digitales fueran reemplazados o eliminados, el acceso que la persona no autorizada pudo haber tenido a las cuentas de terceros vinculadas a las cuentas de Flipboard varía según el tipo de cuenta vinculada, así como los permisos que el usuario dio al vincularla a la cuenta de Flipboard del usuario, pero potencialmente dicho acceso pudo haber permitido que la persona no autorizada leyera o hiciera publicaciones y mensajes en la cuenta y accediera a alguna información de la cuenta de usuario, como el nombre de usuario, la información del perfil, las publicaciones en el sitio y las conexiones. En algunos casos, este acceso también permitió cambios a esta información, como invitar a nuevas personas a conectarse. No hemos encontrado prueba alguna de que la persona no autorizada accediera a alguna cuenta(s) de terceros conectada(s) a sus cuentas de Flipboard.

 

¿Es seguro seguir utilizando mi cuenta de Flipboard?

Sí. Hemos restablecido las contraseñas de todos los usuarios y eliminado todos los tokens digitales asociados a las cuentas de los usuarios para que pueda seguir utilizando el Flipboard de forma segura.

Cuando intente iniciar sesión en su cuenta de Flipboard, notará que la contraseña de su cuenta de Flipboard ya no es válida. Si utiliza una dirección de correo electrónico para acceder a su cuenta de Flipboard, le enviaremos un correo electrónico con instrucciones sobre cómo crear una nueva contraseña y volver a vincular sus cuentas de redes sociales.

Si utiliza su cuenta de Twitter, Facebook, Samsung o Google para acceder a su cuenta de Flipboard, el proceso de inicio de sesión sigue siendo seguro y no es necesario cambiar la contraseña.

 

¿Cómo puedo restablecer mi contraseña?

Si está en la Web, puede restablecer su contraseña en https://accounts.flipboard.com/. Tenga en cuenta que para restablecer su contraseña, necesitará acceder a la dirección de correo electrónico asociada a su cuenta de Flipboard.

Si está en su dispositivo móvil, siga estos pasos en la aplicación Flipboard:

Para teléfonos Android:

  1. En la página de inicio de sesión, seleccione Get Started (Iniciar), y luego Login (Iniciar sesión) en la esquina superior derecha;
  2. Seleccione Email (correo elecgrónico) y escriba su dirección de correo electrónico asociada con Flipboard
  3. Seleccione Forgot username or password? (¿Olvidó su nombre de usuario o contraseña?) para abrir la página Account Help (Ayuda con la cuenta);
  4. Seleccione Forgot Password? (¿Olvidó su contraseña?);
  5. Introduzca el correo electrónico de su cuenta;
  6. Pulse Send (Enviar).

Para teléfonos Apple:

  1. En la página de inicio de sesión, seleccione Login (Iniciar sesión) en la esquina superior derecha, luego Log in with Email (Iniciar sesión con correo electrónico);
  2. Seleccione Forgot your password? (¿Olvidó su contraseña?) para abrir la página Account Help (Ayuda con la cuenta);
  3. Seleccione Forgot Password? (¿Olvidó su contraseña?);
  4. Introduzca el correo electrónico de su cuenta;
  5. Pulse Send (Enviar).

Para la tableta Apple iPad:

  1. Empiece por seleccionar Already have an acount? (¿Ya tiene una cuenta?) Log In (Inicie sesión);
  2. Seleccione Need Help? (Necesita ayuda?) para abrir la página Account Help (Ayuda con la cuenta);
  3. Seleccione Forgot Password? (¿Olvidó su contraseña?);
  4. Introduzca el correo electrónico de su cuenta;
  5. Pulse Send (Enviar).

Para tabletas Android:

  1. Empiece por seleccionar Existing account? (cuenta existente?) Tap to log in (Pulse para iniciar sesión);
  2. Seleccione Email (correo elecgrónico) y escriba su dirección de correo electrónico asociada con Flipboard
  3. Seleccione Forgot username or password? (¿Olvidó su nombre de usuario o contraseña?) para abrir la página Account Help (Ayuda con la cuenta);
  4. Seleccione Forgot Password? (¿Olvidó su contraseña?);
  5. Introduzca el correo electrónico de su cuenta;
  6. Pulse Send (Enviar).

Asegúrese de restablecer la contraseña lo antes posible, ya que el enlace expirará pasado algún tiempo. Si el enlace para restablecer la contraseña ya no funciona, puede volver a enviar un correo electrónico de restablecimiento de contraseña. Le recomendamos que actualice su contraseña de vez en cuando para ayudar a garantizar la seguridad de la cuenta.

Si necesita ayuda adicional, seleccione Contact Us (Contáctenos) en la página de Ayuda de la cuenta o envíenos un correo electrónico aquí.

 

¿Cómo reconecto mi cuenta de Flipboard con mis cuentas de redes sociales?

Flipboard ha reemplazado o eliminado todos los tokens digitales de sus usuarios porque algunos de esos tokens estaban contenidos en las bases de datos afectadas. En la mayoría de los casos, esto no afectará a su acceso, pero existe la posibilidad de que necesite restablecer la conexión para ver el contenido.

A continuación se explica cómo reconectar su cuenta social a Flipboard para iOS:

1. Pulse sobre su pestaña Following (Siguiente);

2. Seleccione Accounts (Cuentas);

3. Seleccione el servicio con el que desea reconectarse;

4. Introduzca las credenciales de inicio de sesión de su cuenta social.

Nota: En un iPad, pulse “Red Ribbon” (Cinta roja) > seleccioine Following (Siguiente) > seleccione Accounts (Cuentas).

A continuación se explica cómo reconectar su cuenta social a Flipboard para Android:

1. Pulse sobre la pestaña de su Profile (Perfil)

2. Pulse Settings; (Configuración)

3. Seleccione Accounts (Cuentas);

4. Seleccione el servicio con el que desea reconectarse;

5. Introduzca las credenciales de inicio de sesión de su cuenta social.

Nota: En la tableta Android, abra su página de perfil > pulse Settings (configuración) > seleccione Accounts (Cuentas).

Ahora tiene una nueva sesión con su cuenta de redes sociales y puede volver a usarla como de costumbre.

Si necesita más ayuda, seleccione Contact (Contactar) en nuestro Help Center (Centro de ayuda).

 

¿Debo restablecer también las contraseñas de mis otras cuentas?

Su cuenta de Flipboard ya está protegida criptográficamente. Sin embargo, por precaución, le recomendamos que cambie su contraseña en cualquier otro sitio o cuenta en la que utilice la misma información de inicio de sesión. Es una buena práctica utilizar una contraseña única para cada servicio.

 

¿Cómo sabré que la notificación por correo electrónico que recibí es de Flipboard?

Queremos que esté seguro de que la notificación por correo electrónico que pueda recibir es de Flipboard. El correo electrónico provendrá de la siguiente dirección: security-notification@flipboard.com También queremos que sepa que cuando otras empresas han enviado notificaciones como esta, hay personas que las utilizan para tratar de engañar a las personas para que proporcionen información sobre sí mismas mediante el uso de enlaces a sitios web falsos (phishing) o haciéndose pasar por alguien en quien confían (ingeniería social). Tenga en cuenta que el correo electrónico que pueda recibir de nosotros no contendrá ningún archivo adjunto ni le solicitará ninguna información, y los enlaces sólo le llevarán de vuelta a esta página web.