Flickr ha informado a sus usuarios de un posible incidente de seguridad que afectó a información personal por culpa de una vulnerabilidad en un proveedor externo de servicios de correo electrónico. La red social fotográfica, activa desde 2004 y con miles de millones de imágenes alojadas, ha confirmado que cerró el acceso al sistema afectado pocas horas después de haber sido notificada del problema, pero reconoce que algunos datos de sus miembros podrían haber quedado expuestos.
Según la comunicación enviada a los afectados, la fuga pudo incluir nombres reales, direcciones de correo electrónico, nombres de usuario en la plataforma, el tipo de cuenta, direcciones IP, datos de ubicación aproximada y registros de actividad dentro de Flickr. En paralelo, la compañía ha asegurado que no hay indicios de que las contraseñas ni los números de tarjetas de pago se vieran comprometidos en este incidente. Puedes ver la declaración compartida públicamente por la empresa en su mensaje en X (antes Twitter) aquí.
La noticia ha sido recogida por medios especializados en ciberseguridad, que detallan que Flickr no ha querido divulgar el nombre del proveedor de correo implicado ni el número exacto de cuentas afectadas. Ese hermetismo sobre terceros es habitual en los primeros comunicados, pero también es una de las partes más problemáticas de estos incidentes: cuando una plataforma delega funciones críticas en proveedores externos, pierde parte del control directo sobre la seguridad y el flujo de información.
Es importante situar este caso en contexto: Flickr es una comunidad histórica de fotografía en internet con miles de millones de archivos y una base de usuarios significativa. La dependencia de servicios de terceros para tareas como el envío de emails transaccionales o de notificaciones es una práctica extendida en la industria, pero también multiplica la superficie de ataque si esos proveedores presentan vulnerabilidades. Organismos europeos y expertos en ciberseguridad llevan años advirtiendo de los riesgos de la cadena de suministro digital; en Europa puedes consultar análisis y guías en la página de la Agencia de Ciberseguridad de la Unión Europea (ENISA).
Flickr ha instado a los usuarios afectados a revisar la configuración de sus cuentas en busca de cambios no autorizados y a mantener una actitud vigilante frente a intentos de phishing que utilicen información extraída del servicio. La compañía reiteró que nunca solicitará contraseñas por correo y anunció que está investigando a fondo el incidente, revisando su arquitectura y reforzando la supervisión sobre proveedores externos.
Si eres usuario de Flickr, hay medidas concretas y prácticas que conviene tomar ahora mismo. Lo primero es inspeccionar tu cuenta por si hay contenidos eliminados, álbumes modificados, cambios en la configuración o aperturas de sesión desde ubicaciones desconocidas. Si repetías la misma contraseña en otros servicios, cámbiala sin esperar; el riesgo más real tras una filtración de emails y nombres es que los atacantes intenten aprovechar las mismas credenciales en otras plataformas.
También es recomendable activar la autenticación de dos factores (2FA) cuando el servicio lo ofrezca, y utilizar un gestor de contraseñas para generar y almacenar claves únicas y fuertes para cada cuenta. Estas prácticas reducen notablemente la probabilidad de que un acceso no autorizado derive en un secuestro de cuentas o robo de identidad. Para orientación práctica sobre cómo reconocer correos de phishing y protegerte, fuentes fiables como la Comisión Federal de Comercio de Estados Unidos explican pasos a seguir en su guía sobre estafas por correo electrónico (FTC: Cómo reconocer y evitar el phishing), y en España el Instituto Nacional de Ciberseguridad (INCIBE) ofrece recursos en castellano para usuarios afectados por fraudes online (INCIBE).
Más allá de las recomendaciones individuales, este incidente recuerda a empresas y responsables de producto que la seguridad de los datos no termina en sus propias infraestructuras: la elección, auditoría y supervisión continua de proveedores externos es crucial. Las organizaciones deberían exigir contratos que incluyan cláusulas de seguridad, realizar evaluaciones de riesgo periódicas y mantener planes de respuesta a incidentes que contemplen la identificación y contención de fallos provocados por terceros.
Desde el punto de vista normativo, las filtraciones que implican datos personales pueden activar obligaciones de notificación ante autoridades de protección de datos y, en algunos casos, el derecho de los usuarios a recibir información detallada sobre el alcance del incidente. Si vives en la Unión Europea y crees que tus datos personales se han visto comprometidos, consulta la información y los recursos del Consejo Europeo de Protección de Datos o la autoridad de control de tu país para conocer los pasos a seguir.
Por último, conviene mantener la calma pero no bajar la guardia. Muchos incidentes de este tipo derivan en intentos de ingeniería social dirigidos a los usuarios expuestos. Si recibes un correo inesperado reclamando información, ofreciendo reembolsos u pidiendo que confirmes datos, evita hacer clic en enlaces y comprueba siempre la dirección del remitente. Ante dudas, contacta con el soporte oficial del servicio desde su web (no desde enlaces recibidos por email) y cambia las credenciales en los servicios donde repitas contraseñas.
Flickr ha señalado que ofrece disculpas por lo sucedido y que está tomando medidas para evitar que algo similar vuelva a ocurrir. Mientras las investigaciones continúan, la mejor defensa sigue siendo la combinación de buenas prácticas personales —contraseñas únicas y 2FA— y una presión constante sobre las plataformas para que refuercen la supervisión de sus proveedores. Los detalles completos del incidente y la cobertura periodística están disponibles en medios especializados, por ejemplo en BleepingComputer (artículo sobre la notificación de Flickr), donde se han recopilado las declaraciones públicas y el seguimiento inicial del caso.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Mini Shai-Hulud: el ataque que convirtió las dependencias en vectores de intrusión masiva
Resumen del incidente: GitHub investiga un acceso no autorizado a repositorios internos después de que el actor conocido como TeamPCP puso a la venta en un foro delictivo el sup...
Fox Tempest expone la fragilidad de la firma digital en la nube
La revelación de Microsoft sobre la operación de "malware-signing-as-a-service" conocida como Fox Tempest vuelve a poner en el centro la vulnerabilidad más crítica del ecosistem...
Trapdoor: la operación de malvertising que convirtió apps Android en una fábrica automática de ingresos ilícitos
Investigadores de ciberseguridad han descubierto una operación de malvertising y fraude publicitario móvil bautizada como Trapdoor, que convierte instalaciones legítimas de apli...
Del aviso a la acción orquestación e IA para acelerar la respuesta ante incidentes de red
Los equipos de TI y de seguridad viven una realidad conocida: un aluvión constante de alertas que llega desde plataformas de monitorización, sistemas de infraestructura, servici...
Nx Console en jaque: cómo una extensión de productividad se convirtió en un robo de credenciales y una amenaza para la cadena de suministro
Un ataque dirigido a desarrolladores volvió a poner en evidencia la fragilidad de la cadena de suministro del software: la extensión Nx Console para editores como Visual Studio ...