Las alarmas saltaron cuando se supo que los datos de 2,6 millones de usuarios de Duolingo, la popular aplicación de aprendizaje de idiomas, estaban al descubierto en un foro hacker.
Este hecho ha puesto en jaque la confianza depositada en el gigante del aprendizaje lingüístico, con múltiples preguntas sobre la seguridad de los datos de los usuarios que aún permanecen sin respuesta.
Una filtración costosa
Originalmente, en enero de 2023, alguien trató de capitalizar la vulnerabilidad vendiendo la información por 1.500 dólares en el ya cerrado sitio web Breached. Sin embargo, recientemente, esa misma base de datos estuvo disponible por solo 8 créditos, equivalente a 2,13 dólares, en otra versión del mismo foro. Los datos expuestos incluyen no solo nombres de usuario, sino también correos electrónicos y otros datos internos, lo que podría hacer a los usuarios blancos fáciles para ataques de phishing.
¿Cómo se filtro la información de Duolingo?
El agujero de seguridad se basó en una API pública que Duolingo dejó expuesta durante meses. Esta API permite a cualquiera ingresar un nombre de usuario y recibir un archivo JSON con la información pública asociada a dicho usuario. De manera más alarmante, también permite verificar si un correo electrónico está vinculado a una cuenta de Duolingo. A pesar de que la brecha de seguridad se identificó en enero, medios como Bleeping Computer confirmaron que la API aún es accesible y circula libremente por la red.
¿Qué información está en riesgo?
Usando la API de Duolingo, uno podría extraer una variedad de datos, como:
- Racha de uso (Streak).
- Imagen de perfil.
- Idiomas en aprendizaje, puntos XP y coronas.
- Asociación con cuentas de Facebook o Google.
- ID de usuario de Duolingo.
- Nombre de usuario.
- Fecha de creación de la cuenta.
- Nombre real asociado a la cuenta.
- Ubicación del usuario.
- Verificación del correo electrónico, entre otros.
Si bien algunas de estas informaciones son comunes, como el nombre de usuario, otras son especialmente sensibles, como la ubicación del usuario.
Si quieres probarlo solo tienes que agregar el correo electrónico objetivo como un parámetro al final de la siguiente URL de API: https://duolingo.com/2017-06-30/users?email=
Respuesta de Duolingo
Aunque Duolingo ha afirmado que solo se filtraron datos públicos, la evidencia sugiere lo contrario, con correos electrónicos privados incluidos en la filtración. Lo que deja a muchos preguntándose si la compañía está tomando las medidas adecuadas para proteger a sus usuarios.
Recomendaciones para los usuarios
Si bien los usuarios no pueden hacer mucho respecto a los datos ya expuestos, es esencial mantenerse alerta a posibles intentos de phishing y otros ataques cibernéticos. Es recomendable cambiar contraseñas regularmente y ser cauteloso con correos electrónicos desconocidos o solicitudes sospechosas.
En resumen
La filtración en Duolingo es un recordatorio de la importancia de la ciberseguridad y de garantizar que las plataformas que utilizamos tomen las precauciones necesarias para proteger nuestra información. Con millones de usuarios potencialmente afectados, la situación actual pone de manifiesto la urgente necesidad de una mayor diligencia y transparencia en el mundo digital.
