La plataforma de fotografía online comunicó que una vulnerabilidad en un sistema de correo de un tercero podría haber permitido la exposición no autorizada de nombres, correos electrónicos y otros datos, aunque asegura que contraseñas y pagos no se vieron comprometidos.
La red social de imágenes Flickr comenzó a notificar a sus miembros sobre un incidente de seguridad que podría haber expuesto información personal, tras detectar una falla en un servicio de correo electrónico de un proveedor externo utilizado por la plataforma. La compañía, que dice reunir unos 35 millones de usuarios activos mensuales, envió mensajes oficiales el 5 de febrero para alertar sobre la posible brecha, aunque no ha divulgado cuántas cuentas fueron afectadas ni cuál es el proveedor involucrado.
Según los correos electrónicos enviados directamente a usuarios, la vulnerabilidad del tercer proveedor “podría haber permitido el acceso no autorizado a información de algunos miembros de Flickr” antes de que se tomaran medidas para cerrar el acceso al sistema vulnerable. La compañía asegura que actuó con rapidez, deshabilitando el acceso y removiendo cualquier enlace asociado al sistema comprometido en cuestión de horas tras ser informada del problema.
Entre los tipos de información que podrían haber estado expuestos se encuentran los nombres reales de los usuarios, direcciones de correo electrónico, nombres de usuario de Flickr, tipo de cuenta, direcciones IP, datos generales de ubicación e incluso actividad dentro de la plataforma. Aunque los datos expuestos varían de cuenta a cuenta, la filtración de estos elementos -especialmente direcciones de correo y nombres- incrementa el riesgo de campañas de phishing dirigidas que podrían intentar suplantar a la plataforma legítima.
Flickr fue enfático al señalar que las contraseñas y los datos de tarjetas de pago no se vieron comprometidos en este incidente, lo que, en teoría, limita el alcance de posibles consecuencias como el acceso directo a cuentas o el robo financiero. No obstante, la propia comunicación enviada a los usuarios los insta a revisar configuraciones de seguridad de sus perfiles y a cambiar sus contraseñas si reutilizan esas credenciales en otros servicios.
La compañía explicó que el incidente ocurre en un contexto donde la gestión de proveedores externos se ha convertido en un foco crítico de las prácticas de ciberseguridad. Flickr ha asegurado que se encuentra fortaleciendo sus procedimientos de seguridad internos, así como el monitoreo y la revisión de sus proveedores de servicios, además de notificar a las autoridades de protección de datos competentes, en línea con obligaciones normativas como el Reglamento General de Protección de Datos (GDPR) en Europa y otras leyes similares en diferentes regiones.
En los mensajes enviados, la empresa también recordó a los usuarios que nunca solicitará contraseñas vía correo electrónico, y que deben tener cuidado con comunicaciones sospechosas que intenten aprovechar información filtrada para engañar a las personas. Esto se alinea con las recomendaciones habituales de seguridad digital, que enfatizan la importancia de vigilar cualquier tipo de actividad irregular y no responder a solicitudes de datos sensibles fuera de los canales oficiales.
Ningún grupo ha reclamado la autoría del ciberataque, mientras tanto Flickr sigue investigando el incidente y es probable que en los próximos días se den a conocer más detalles sobre el alcance y los alcances del evento.