OpenSea, que es la más popular de las plataformas de compraventa de NFT (Non fungible tokens o tokens no fungibles) ha advertido a sus usuarios que podrían ser víctimas de una suplantación de identidad por correo electrónico, ya que se han filtrado datos de direcciones de correo electrónico de todas las personas que alguna vez hayan compartido su mail con la plataforma.
Un miembro del personal de Customer.io, que es un proveedor de correo electrónico contratado por OpenSea, utilizó indebidamente el acceso de sus empleados para descargar y compartir las direcciones de correo electrónico de los usuarios y suscriptores del boletín de OpenSea con una parte externa no autorizada, según ha anunciado hace unas horas OpenSea. La magnitud de la brecha de seguridad parece ser masiva.
Afectadas cerca de 2 millones de personas
"Si has compartido tu correo electrónico con OpenSea en el pasado, debes asumir que esto te afecta", dijo la compañía.
Recientemente nos enteramos de que un empleado de Customer.io, nuestro proveedor de servicios de correo electrónico, utilizó indebidamente sus privilegios para descargar y compartir direcciones de correo electrónico con alguien externo y no autorizado". Estas eran todas las direcciones proporcionadas por los usuarios de OpenSea y los suscriptores de su boletín. OpenSea ya ha reportado a la policía el asunto.
La empresa también ha explicado que está trabajando con Customer.io en una investigación en curso. De acuerdo con datos de Dune Analytics, más de 1,8 millones de usuarios han realizado al menos una compra a través de OpenSea en su historia. Y todas y cada una de estas personas podrían ser víctimas de phishing.
Por el momento, este empleado ya no tiene acceso a los programas y está suspendido de su empleo, hasta que haya más informaciones con la investigación.
Esta rocambolesca historia guarda cierto parecido con otra que reportamos hace unos días: un trabajador de una empresa japonesa, subcontratada por el ayuntamiento de una ciudad, guardó en un USB toda la información de cada uno de los habitantes de esa ciudad y luego perdió el USB en plena borrachera. Finalmente, el USB ha sido localizado, pero muestra cómo una mala práctica con los datos privados, por parte de solo una persona, puede ponernos en peligro.
Cómo protegerte, según OpenSea
OpenSea ya fue víctima de otros ataques en el pasado y también de un mal uso de la plataforma para inflar precios de ciertos NFT y engañar a otros usuarios. Incluso, un fallo en la plataforma permitió estafas de 1 millón de euros en total. Un gran reto para la plataforma es conseguir evitar los plagios de obras de arte.
Ahora da recomendaciones sobre cómo protegerse de esta última filtración. "Debido a que los datos comprometidos incluyen direcciones de correo electrónico, puede haber una mayor probabilidad de intentos de phishing por correo electrónico" y, por ello, se recomienda tener mucho cuidado cada vez que los usuarios reciban un mail que parece que venga de OpenSea.
Los ciberdelincuentes pueden intentar ponerse en contacto utilizando una dirección de correo electrónico que se parezca visualmente al dominio de correo electrónico oficial de la plataforma, que es 'opensea.io' (y pueden mandar mails poniendo un dominio tipo 'opensea.org' o alguna otra variación).
"OpenSea SOLO le enviará correos electrónicos desde el dominio: 'opensea.io'. Por favor, no aceptes ningún correo electrónico que diga ser de OpenSea y que no provenga de este dominio de correo electrónico", insisten. Además, "nunca descargues nada de un correo electrónico de OpenSea. Los correos electrónicos auténticos de OpenSea no incluyen archivos adjuntos ni solicitudes de descarga".
Además, nunca debes firmar una transacción de monedero solicitada directamente desde un correo electrónico. Los correos electrónicos de OpenSea nunca contendrán enlaces que pidan directamente que firmes una transacción de monedero.