Fundación Wikimedia/Descubrimiento de cuentas vulneradas en marzo 2025

La Fundación Wikimedia, en colaboración con personas voluntarias, identificó recientemente un patrón inusual de inicios de sesión en cuentas registradas. Tras una investigación, funcionarios y personal de la WMF bloquearon globalmente 35.893 cuentas, lo que cerró la sesión de estos usuarios e impidió que volvieran a iniciar sesión. Si tu cuenta se vio afectada y tenía una dirección de correo electrónico asociada, debería haber recibido un correo electrónico de privacy@wikimedia.org con los próximos pasos recomendados.

Según todo lo que han descubierto nuestros equipos de seguridad e ingeniería, creemos que esta actividad no autorizada es, con mayor probabilidad, el resultado de que las contraseñas de los usuarios se hayan visto comprometidas en sitios no relacionados con Wikimedia, donde los usuarios reutilizaron sus contraseñas en múltiples plataformas. Conocido como "relleno de credenciales", este es un ataque desafortunadamente común en el que actores malintencionados obtienen nombres de usuario y contraseñas robados e intentan usarlos en una variedad de otros sitios web y cuentas. La información de las cuentas afectadas (como direcciones de correo electrónico asociadas, zonas horarias y otras configuraciones del perfil) estuvo accesible para el atacante antes de que la cuenta fuera bloqueada.

Actualmente, no tenemos motivos para creer que los sistemas de Wikimedia hayan sido la fuente de la filtración, ni evidencia de que algún usuario, grupo de usuarios o comunidad específica haya sido objetivo del ataque. La mayoría de las cuentas afectadas eran inactivas o de baja actividad; solo alrededor del 2 % había realizado 100 o más ediciones a lo largo de su existencia. Tampoco hemos encontrado evidencia de actividad de edición malintencionada en ninguna de las cuentas comprometidas, por lo que no creemos que la integridad del contenido de Wikimedia se haya visto afectada.

En primer lugar, recomendamos a los usuarios directamente afectados por el incidente que cambien de inmediato su contraseña en cualquier cuenta en línea donde hayan utilizado la misma clave. De manera más general, alentamos a todos los usuarios a utilizar contraseñas únicas para cada sitio web en el que tengan una cuenta, algo que los administradores de contraseñas disponibles ampliamente pueden facilitar.

Las cuentas de Wikimedia no requieren una dirección de correo electrónico, pero nuestra capacidad para ayudar a recuperar el acceso a cuentas comprometidas sin una es muy limitada. En general, recomendamos tener una dirección de correo electrónico confirmada en la cuenta de Wikimedia. Consulta nuestra política de contraseñas para obtener más información sobre los requisitos y las buenas prácticas para la contraseña de su cuenta en Wikimedia.

Gracias a las personas voluntarias que ayudaron a responder rápidamente a este incidente. En la Fundación, estamos implementando protecciones de seguridad adicionales para las cuentas de usuario de Wikimedia como parte de nuestro trabajo continuo para prevenir e identificar incidentes como este en el futuro. Si encuentras discusiones relacionadas, por favor dirígete a las personas a esta página de Meta-Wiki y expón cualquier pregunta en la página de discusión.

Pronto compartiremos más información sobre este trabajo. ¡Gracias!

1. (21:17, 28 March 2025 (UTC)) Se ha actualizado la redacción del mensaje anterior para hacer referencia a la posibilidad de que los dispositivos comprometidos hayan contribuido al ataque, no solo los sitios web comprometidos. Dado que nuestra revisión de la actividad de las cuentas está en curso, también hemos matizado que no hemos visto signos «significativos» de edición maliciosa, en lugar de «ningún» signo. Puedes ver los cambios revisados en el historial de la página (enlace a la comparación).