Los mensajes comenzaron a circular el fin de semana: «¡Elimina la aplicación Houseparty, ha hackeado mi cuenta de Spotify!»

Como muchos rumores, las publicaciones se volvieron virales en ambas redes públicas, como Twitter y Facebook, y cerraron foros en WhatsApp y Snapchat.

Se han generalizado tanto que Houseparty dice que es víctima de una «campaña de desprestigio comercial pagada».

El propietario de la firma estadounidense, Epic Games, ahora ofrece una recompensa de $ 1m (£ 803,000) por evidencia de que un «actor malicioso» está detrás de las afirmaciones.

Entonces, ¿Houseparty está hackeando gente?

El consenso en el mundo de la seguridad de la información es que es muy poco probable que la aplicación esté ingresando activamente en otras cuentas de las personas.

Aunque relativamente desconocido hasta la pandemia, Houseparty fue adquirida en junio pasado por la compañía bien establecida detrás del exitoso juego Fortnite.

«Estas publicaciones parecen implicar muy claramente que Houseparty es una aplicación deshonesta que está invadiendo activamente cada parte de su vida digital y la está saqueando en un estallido de criminalidad», dice Paul Ducklin, investigador de la compañía de ciberseguridad Sophos.

«Pero esta es una aplicación convencional publicada por una conocida empresa de software en las tiendas en línea oficiales de Apple y Google».

Eso no sugiere que Houseparty sea demasiado grande para ser hackeado. Existen numerosos ejemplos de empresas con recursos suficientes que tienen productos defectuosos y muchos otros ejemplos de organizaciones que niegan inexactamente que han sido pirateados, ya sea a sabiendas o no.

Sin embargo, la naturaleza de este incidente no es consistente con la ciberdelincuencia habitual.

«Normalmente, cuando un grupo de delitos cibernéticos viola una empresa o descarga una base de datos de cuentas de usuario, los datos se venden a un alto precio y se usan con mucho cuidado», explica Elliott Thompson, consultor de SureCloud.

«Si un grupo de estafa comprara datos por $ 10,000, no tendría sentido financieramente quemar los datos al tratar de robar cuentas para los servicios de transmisión.

«De manera similar, si la violación estuviera ampliamente disponible, normalmente aparecería en foros públicos y ciertamente no hemos visto algo así».

Los expertos dicen que las presuntas infracciones probablemente estén relacionadas con piratas informáticos no relacionados, y es una coincidencia que las personas denuncien ser víctimas poco después de descargar la aplicación de chat.

«Cuando las personas usan las mismas contraseñas y direcciones de correo electrónico para muchos servicios diferentes, los piratas informáticos solo necesitan tener acceso a una de esas bases de datos del sitio web y de repente tienen acceso a todas sus cuentas», agrega Ducklin.

«Con Houseparty como la nueva aplicación en los teléfonos de tantas personas, esta podría ser la razón por la cual la gente está apuntando con el dedo en esa dirección en este momento».

¿Existe un esfuerzo coordinado para difamar a Houseparty?

Epic Games ciertamente parece sugerir que hay una campaña organizada.

«Nuestra investigación descubrió que muchos de los tweets originales que difundieron este reclamo han sido eliminados y hemos notado que las cuentas de Twitter están suspendidas», dice.

Pero la BBC habló con dos personas cuyas publicaciones se compartieron ampliamente y no parecen estar coordinadas o seguir órdenes pagadas de ninguna manera.

Una mujer dijo que publicó una advertencia y consejos sobre cómo eliminar la aplicación simplemente porque quería ayudar a otros.

Otra mujer escocesa de 26 años tuiteó que ella y las cuentas bancarias en línea de Spotify, Amazon, PayPal y su amiga habían sido pirateadas desde la descarga de Houseparty.

Hablando por teléfono con la BBC, admite que no tiene evidencia para vincular Houseparty con su comprometida cuenta de Spotify. Ella dice que solo hizo la conexión después de ver una captura de pantalla de alguien más haciendo un reclamo similar.

«Mis amigos y yo hemos usado Houseparty casi todas las noches desde que comenzó el virus y realmente disfrutamos jugando los juegos en grupo, pero luego comenzaron a suceder cosas sospechosas», explicó.

«Recibí un correo electrónico de Spotify sobre una actividad sospechosa que decía que alguien intentaba iniciar sesión en mi cuenta, así que cambié mi contraseña. Esto solo ha sucedido desde que descargué la aplicación, y cuando le conté al grupo de chat sobre ello, un par de personas también dijo que les habían pasado cosas raras, así que lo eliminamos y advertí a los demás».

La mujer reconoce que usa la misma contraseña y correo electrónico en varios servicios en línea, por lo que ya estaba en un riesgo relativamente alto.

¿La aplicación es segura entonces?

Epic Games insiste en que los datos de sus clientes están seguros y protegidos.

«Las contraseñas se guardan en una base de datos segura, saladas y picadas, en línea con las mejores prácticas de la industria», dice un portavoz.

Y los expertos en seguridad, que ahora están examinando el producto en detalle, dicen que nada obvio se destaca.

«Los permisos no suenan ninguna alarma de privacidad para mí», dice Lukas Stefanko de Eset.

«La aplicación proporciona chats de video con sus amigos, por lo que es lógico que solicite acceso a la cámara, contactos, ubicación, ese tipo de cosas. No he encontrado ningún uso indebido de datos».

Sin embargo, algunas de las funciones de las aplicaciones han causado preocupación por otra razón: la seguridad infantil.

«Aunque la aplicación es relativamente segura ya que los usuarios pueden crear ‘salas’ y elegir solo nombres específicos de las personas con quienes hablar, si un niño no ‘bloquea’ su sala de chat y elige configuraciones privadas, otros pueden ingresar al chat de video «, advierte la organización benéfica Internet Matters.

«Por lo tanto, es importante mostrar y sentarse con su hijo para activar los filtros de privacidad y otros controles al chatear por video. Esto mantiene los chats de video privados y seguros».