WeTransfer, el popular servicio online para compartir archivos grandes fácilmente sin tener que preocuparse por engullir las cuotas de la bandeja de entrada de correo electrónico, ha sufrido lo que la compañía llama un «incidente de seguridad».

Según un aviso enviado por e-mail a los usuarios afectados y confirmado en el sitio web de WeTransfer, el servicio envió correos electrónicos con enlaces de transferencia de archivos a direcciones de correo electrónico no deseadas el 16 y 17 de junio.

Como consecuencia, las partes no autorizadas podrían haber accedido a archivos privados que estaba intentando transferir a una parte de confianza.

La declaración en el sitio web de WeTransfer dice lo siguiente:

Descubrimos un incidente de seguridad el lunes 17 de junio, donde los correos electrónicos que respaldan nuestros servicios se enviaron a direcciones de correo electrónico no deseadas. Actualmente estamos informando a los usuarios potencialmente afectados y hemos informado a las autoridades pertinentes.

Este incidente tuvo lugar los días 16 y 17 de junio y, una vez descubierto, inmediatamente tomamos medidas de seguridad preventivas para proteger a nuestros usuarios. Esto significa que los usuarios podrían haberse desconectado de su cuenta o pedirles que reinicien su contraseña para proteger su cuenta. Además, hemos bloqueado los enlaces de Transferencia para garantizar la seguridad de las Transferencias de nuestros usuarios.

 

Desafortunadamente, la breve declaración de WeTransfer deja muchas preguntas en el aire:

  • ¿Cuántos usuarios se vieron afectados? ¿Cuántos enlaces de transferencia de correo electrónico se enviaron a personas no autorizadas?
  • ¿A cuántas direcciones de correo electrónico se enviaron los mensajes de enlace de transferencia de archivos errantes?
  • ¿Fueron los destinatarios de correo electrónico no autorizados aparentemente aleatorios? ¿Otros usuarios de WeTransfer? ¿O fue solo una pequeña cantidad de direcciones de correo electrónico que recibieron todos los mensajes?
  • ¿Fue esto un error o el resultado de un acto malicioso?
  • Si se cree que fue malicioso, ¿se ha informado a las autoridades?
  • ¿Qué medidas se han tomado para evitar que vuelva a ocurrir un incidente similar en el futuro?
  • WeTransfer afirma ser compatible con GDPR y tiene su sede en la UE. Teniendo en cuenta la naturaleza potencialmente sensible de la información que podría haber sido transferida, ¿se ha informado la violación de la seguridad a los reguladores de protección de datos?

La versión gratuita de WeTransfer no le da la opción de proteger con contraseña los enlaces de descarga que envía cuando intenta compartir un archivo con un amigo o colega.

Mi consejo sería cifrar siempre la información confidencial con una contraseña única y difícil de descifrar antes de confiarla a un servicio de intercambio de archivos basado en la nube como WeTransfer. Y luego, por supuesto, use un medio diferente al correo electrónico para obtener esa contraseña para el destinatario deseado.

Al menos de esa manera, sabe que ha hecho que sea mucho menos probable que una parte no autorizada pueda espiar su información si el servicio de intercambio de archivos sufre un error de seguridad.