Si usas YouTube ya sea para ver videos o subir contenido por favor ten cuidado con las interacciones con algunos comentarios y canales. Aquí te explicamos por qué.

En estos momentos supuestamente hay un fallo de seguridad en YouTube que está permitiendo a los usuarios hackear tu cuenta si interactúas con sus comentarios. ¿Qué tan probable es eso? Bueno, para ser honesto muy poco probable, pero hay otras formas y medios, así que lo que podría ser? Lo más probable es que sea un abuso de Oauth Token. Así que ya sabes, cuando visitas un sitio web y te dice que crees una cuenta o inicies sesión a través de YouTube, Facebook, Twitter, etc., estos necesitan un Token Oauth que te pide que concedas ciertos permisos, es decir, control de canales, lectura de mensajes, ver la dirección de correo electrónico, etc. Ahora bien, algunos de estos como ver la dirección de correo electrónico se puede utilizar para buscar viejas violaciones de datos para encontrar contraseñas que coincidan y o intentar un ataque de fuerza bruta, y en el lado del control del canal bien esto podría ser literalmente cualquier cosa, comentando, borrando videos o incluso publicando actualizaciones ves a dónde voy con esto.

¿Entonces quién es el que está publicando estos comentarios? Los supuestos nombres de las cuentas aparecen como Logan, Sounds o Vakzy. Hay muchas otras cuentas que han sido comprometidas por este usuario llamado «Logan» para seguir difundiendo comentarios automatizados en los vídeos y de ahí ha salido toda la historia de esto.

Son cuentas bot que han estado comentando en los vídeos de la gente con comentarios como «Wanna Be Friends» y «Aquí antes de x cantidad de suscriptores. ¡Sigue entreteniendo a tus fans! También, vamos a construir el uno al otro». Todo esto fue sacado a la luz por un YouTuber llamado Evanz111 que hizo un video profundizando en ello que ahora ha sido recogido por los gustos de SomeOrdinaryGamers (Realmente ir a ver este video, este tipo es impresionante y profundiza aún más en ella y da más consejos de seguridad en el cuidado de sus cuentas sociales), Optimus y Upper Echelon Gamers

Después de que Evanz111 subiera su vídeo sobre el incidente, su canal de YouTube fue supuestamente hackeado y publicó en Twitter que alguien había burlado su contraseña de 18 dígitos y también su 2fa mediante la suplantación de su número de teléfono móvil. Yo me pregunto cómo sabía al 100% que era esta cuenta de «Logan». Si era esta cuenta de Logan entonces por qué no se borró el video que lo exponía. Sinceramente hay tanto detrás de esto que es algo que saldrá a la luz con la verdad bastante pronto.

Como compañero creador de contenido de YouTube y usuario todo lo que puedo hacer es instar a no interactuar con cualquier comentario que parece bot como, si eso es comentarios diciendo «hola» o «Gran contenido». Tú conoces a tu audiencia y sabes cómo comentan las personas reales. Nunca hagas clic en ningún enlace que te pida colaborar o algo similar si no te has comunicado previamente. Algunas cosas parecen básicas y obvias de decir pero a veces algunos comentarios los tomas como que la gente ha sido amable pero desgraciadamente son todo lo contrario. Por supuesto, parece muy poco probable que la interacción con un comentario pueda causar algo como esto y es por eso que estoy apoyando la teoría de SomeOrdinaryGamers de que se trata de algún error en el manejo de los Tokens Oauth que ha permitido el control total de la cuenta de YouTube de alguien y o a través de un ataque bruto de encontrar el correo electrónico de alguien y las posibles contraseñas de los datos anteriores violados.
Para ahorrarme el escribir un ensayo de 3.000 palabras adicionales sobre esto, echa un vistazo a todos los vídeos que he visto para conocer todo esto a continuación. Comparte esto con tus amigos y familiares para que sean conscientes. Especialmente si su hijo viene a usted hablando de este video que han visto hablando del comentario y el posible hackeo.

Para mí estas cuentas son simplemente spam. Simplemente ignóralos, borra sus comentarios si publican en tus videos y sólo sigue creando contenido impresionante.

Cualquier preocupación cambia tu contraseña, establece tu 2fa a un dispositivo/app basado y sólo mantente vigilante en lo que interactúas e incluso en lo que inicias sesión y qué acceso de concesión están queriendo.

Mantendré este post actualizado a medida que las cosas empiecen a aclararse y salgan informes oficiales al respecto. Como siempre es mejor prevenir que lamentar.