Riesgo de «phishing» para los usuarios de Duolinguo

Security Awareness
18 septiembre 2023
Duolingo Phishing

Aprende idiomas, sí, pero cuidado con las trampas

Hoy en día, para moverse y trabajar en el mundo, es casi obligatorio aprender lenguas distintas de la materna.

Hasta hace unos años, esto se consideraba una inversión en nosotros mismos.
Un camino difícil y también caro. Había que participar en cursos reconocidos, quizás asistir a una escuela presencial y, a menudo, planificar estancias en el extranjero. En resumen, invertir mucho tiempo y dinero.
Hoy en día, todo es mucho más sencillo: la red está repleta tanto de profesores como de programas o aplicaciones que, con relativamente poco esfuerzo, prometen un aprendizaje fácil, rápido y barato.

Uno de los más conocidos y populares es Duolinguo, uno de los mayores sitios web de aprendizaje de idiomas del mundo, con más de 74 millones de usuarios mensuales globalmente.

La primera versión beta de Duolingo data del 30 de noviembre de 2011 y antes de su lanzamiento ya había alcanzado una lista de espera de más de 300 000 usuarios.
El sitio se lanzó al público en junio de 2012 y en enero de 2014 ya tenía 25 millones de usuarios, de los cuales unos 12,5 millones eran activos. En 2013, Apple eligió Duolingo como «aplicación del año para iPhone», lo que la convirtió en la primera aplicación educativa en recibir este galardón. En resumen, una buena idea y un buen método desde el principio.

Sin embargo, es una pena que la fiabilidad de la conocida aplicación haya empezado a tambalearse tras una reciente filtración de datos. A principios de este año, los piratas informáticos obtuvieron los nombres y direcciones de correo electrónico de 2,6 millones de usuarios de la aplicación y ahora están vendiendo todo el conjunto de datos en foros clandestinos por unos 2,13 dólares, lo que permite a otros delincuentes llevar a cabo ataques de «phishing» dirigidos utilizando los nombres y las direcciones de correo electrónico de los usuarios.

Al mismo tiempo, los piratas informáticos pueden inducir a las víctimas a hacer clic haciéndose pasar por Duolingo en sus mensajes.
El objetivo es tanto robar dinero como utilizar correos electrónicos de «phishing» dirigidos para inducir a los usuarios de Duolingo a instalar «malware» en sus dispositivos o a proporcionar sus credenciales o datos bancarios a través del servicio de pago llamado Super Duolingo.

Estos datos se recopilaron utilizando una API (interfaz de programación de aplicaciones) expuesta que lleva publicada desde al menos marzo de 2023.

Esta API permite que cualquiera introduzca un nombre de usuario y emita un JSON con la información pública del perfil de usuario introducido. También es posible introducir una dirección de correo electrónico en la API y comprobar si está asociada a una cuenta válida de Duolingo.

La cuestión es que parece que esta API sigue estando disponible para cualquiera en la web, incluso después de que se denunciara su abuso a Duolingo en enero.

En resumen, el problema no parece estar resuelto. Así que, por ahora, los usuarios, a la espera de que Duolinguo tome medidas definitivas, solo pueden tener mucho cuidado de no caer en la tela de araña.

Las recomendaciones son las de siempre:

  • observar los correos electrónicos entrantes con mucha atención,
  • comprobar si la dirección del remitente es la legítima,
  • verificar que la gramática y las palabras estén bien,
  • no reaccionar emocionalmente ante un correo electrónico alarmista que tal vez amenace con algún tipo de caducidad o pérdida de cuenta, y, lo que es más importante,
  • evitar hacer clic en enlaces sospechosos y descargar archivos adjuntos.

Los peligros en la red están cada vez más presentes y son más traicioneros.
La única forma de estar definitivamente a salvo de desagradables contratiempos es recibir una formación de calidad que no solo nos proporcione todos los conocimientos para evitar caer en las ya numerosas trampas de los piratas informáticos, sino que también nos permita estar siempre «al tanto» sin que nos pillen desprevenidos.
Porque este último factor es precisamente el arma preferida de los piratas informáticos.


Suscríbete al boletín

Artículos relacionados