Fundación Wikimedia/Descubrimiento de cuentas vulneradas en marzo 2025
La Fundación Wikimedia, en colaboración con voluntarios, identificó recientemente un patrón inusual de inicios de sesión en cuentas registradas. Tras una investigación, funcionarios y personal de la WMF bloquearon globalmente 35.893 cuentas, lo que cerró la sesión de estos usuarios e impidió que volvieran a iniciar sesión. Si su cuenta se vio afectada y tenía una dirección de correo electrónico asociada, debería haber recibido un correo electrónico de privacy@wikimedia.org con los próximos pasos recomendados.
Según todo lo que han descubierto nuestros equipos de seguridad e ingeniería, creemos que esta actividad no autorizada es, con mayor probabilidad, el resultado de que las contraseñas de los usuarios se hayan visto comprometidas en sitios no relacionados con Wikimedia, donde los usuarios reutilizaron sus contraseñas en múltiples plataformas. Conocido como "relleno de credenciales", este es un ataque desafortunadamente común en el que actores malintencionados obtienen nombres de usuario y contraseñas robados e intentan usarlos en una variedad de otros sitios web y cuentas. La información de las cuentas afectadas (como direcciones de correo electrónico asociadas, zonas horarias y otras configuraciones del perfil) estuvo accesible para el atacante antes de que la cuenta fuera bloqueada.
Actualmente, no tenemos motivos para creer que los sistemas de Wikimedia hayan sido la fuente de la filtración, ni evidencia de que algún usuario, grupo de usuarios o comunidad específica haya sido objetivo del ataque. La mayoría de las cuentas afectadas eran inactivas o de baja actividad; solo alrededor del 2 % había realizado 100 o más ediciones a lo largo de su existencia. Tampoco hemos encontrado evidencia de actividad de edición malintencionada en ninguna de las cuentas comprometidas, por lo que no creemos que la integridad del contenido de Wikimedia se haya visto afectada.
Próximos pasos para los usuarios Wikimedia
En primer lugar, recomendamos a los usuarios directamente afectados por el incidente que cambien de inmediato su contraseña en cualquier cuenta en línea donde hayan utilizado la misma clave. De manera más general, alentamos a todos los usuarios a utilizar contraseñas únicas para cada sitio web en el que tengan una cuenta, algo que los administradores de contraseñas disponibles ampliamente pueden facilitar.
Las cuentas de Wikimedia no requieren una dirección de correo electrónico, pero nuestra capacidad para ayudar a recuperar el acceso a cuentas comprometidas sin una es muy limitada. En general, recomendamos tener una dirección de correo electrónico confirmada en la cuenta de Wikimedia. Consulte nuestra política de contraseñas para obtener más información sobre los requisitos y las buenas prácticas para la contraseña de su cuenta en Wikimedia.
Gracias a los voluntarios que ayudaron a responder rápidamente a este incidente. En la Fundación, estamos implementando protecciones de seguridad adicionales para las cuentas de usuario de Wikimedia como parte de nuestro trabajo continuo para prevenir e identificar incidentes como este en el futuro. Si encuentra discusiones relacionadas, por favor dirija a las personas a esta página de Meta-Wiki y dirija cualquier pregunta a la página de discusión.
Pronto compartiremos más información sobre este trabajo. ¡Gracias!
Updates
- (21:17, 28 March 2025 (UTC)) The language in the above post has been updated to reference the possibility of compromised devices contributing to the attack, not just compromised websites. As our review of account activity is ongoing, we also qualified that we have not seen "significant" signs of malicious editing, rather than "any" signs. You can see the revised changes on the page history (link to comparison).