Últimamente no paramos con los sustos tecnológicos, y el de hoy tiene como protagonista a Plex, esa plataforma que muchos usamos (o hemos usado) para montar nuestro propio Netflix casero. Pues bien, resulta que han detectado actividad sospechosa en algunas cuentas y están enviando correos a los usuarios pidiendo que cambien cuanto antes la contraseña.
Yo hace tiempo que no uso Plex de forma habitual, pero me ha llegado el aviso de parte de amigos que sí lo siguen utilizando a diario. Y cuidado, que el mensaje no es ninguna tontería: un tercero no autorizado habría accedido a ciertos datos de usuarios, aunque, según ellos, todo está cifrado y sin información bancaria comprometida. Aun así, recomiendan cambiar la contraseña y cerrar todas las sesiones activas por precaución.
El problema está, como siempre, en que aunque las contraseñas estén cifradas (“hasheadas”), si alguien tiene una sesión abierta o un token activo… puede seguir dentro sin que te enteres. Así que sí, puede que tengas que reconectar todos tus dispositivos, pero más vale invertir cinco minutos ahora que tener un disgusto luego. Vamos al lío:
Si usas Plex, esto es lo que tienes que hacer (aunque sea un poco pesado)
Lo primero y más urgente es cambiar tu contraseña desde la propia web oficial de Plex. Nada de hacer clic en enlaces raros que te lleguen por email o mensajes reenviados por WhatsApp: escribe tú mismo la dirección en el navegador o entra desde la app oficial. Una vez dentro, busca la opción para resetear la contraseña. Y aquí un consejo que no falla: usa una clave fuerte, larga, única, con letras, números y símbolos. Evita repetir la misma de siempre. Si la tenías usada también en otros servicios, aprovecha para cambiarla allí también. Sí, es un rollazo, pero es lo más responsable.
Durante ese proceso, hay una casilla que no debes pasar por alto: la que te permite cerrar sesión en todos los dispositivos conectados. Márcala sin pensarlo dos veces. Es lo que garantiza que cualquier sesión activa —ya sea en una tele, un móvil, un Fire TV o incluso otro servidor Plex asociado— se cierre de inmediato y solo pueda acceder quien tenga la nueva contraseña. Lo sé, luego hay que volver a iniciar sesión en todos sitios, pero créeme que es la manera más rápida y efectiva de cortar cualquier acceso raro. Y si tienes amigos o familia usando tu cuenta, ya puedes ir avisando de que tendrán que loguearse de nuevo.
Una vez hecho esto, toca subir un nivel más en seguridad: activar la verificación en dos pasos. Si no lo tenías hecho antes, este es el momento perfecto. Entra en los ajustes de tu cuenta de Plex y activa la opción de 2FA con alguna app tipo Google Authenticator, Authy o incluso 1Password. Con esto, aunque alguien consiga adivinar tu contraseña o haya sacado tus datos de otro lado, no podrá entrar sin tener acceso físico a tu móvil, que es el que genera el código temporal. Es una capa extra de protección que cada vez es más necesaria, especialmente con todos los servicios online que usamos hoy en día.
Otro punto importante es tener mucho ojo con posibles correos falsos o intentos de phishing. En situaciones como esta, es muy habitual que salten los listillos intentando colarte un email falso haciéndose pasar por Plex. ¿Cómo distinguirlos? Pues muy sencillo: un correo legítimo nunca te va a pedir que introduzcas tu contraseña directamente, ni te va a meter miedo con amenazas del tipo “cerramos tu cuenta en dos horas” si no haces clic en tal enlace. Si tienes dudas, no pulses nada y entra directamente en la web de Plex por tu cuenta. La seguridad, en este caso, empieza por mantener la calma y actuar con cabeza.
Para rematar, si ya no usas Plex —como es mi caso últimamente—, no está de más entrar, hacer todo este proceso y cerrar bien la puerta: cambia la contraseña, activa la verificación en dos pasos, elimina todos los dispositivos y revoca el acceso a apps de terceros. Incluso puedes borrar tu método de pago si tuviste Plex Pass en algún momento, y cambiar el correo asociado por uno que controles mejor. Así te aseguras de que no queda ningún hilo suelto por ahí.
Lo bueno es que no parece que la cosa sea grave, porque las contraseñas estaban bien protegidas y no hay datos bancarios en juego. Pero eso no quita que haya que tomárselo en serio. Actuar hoy —aunque sea con algo de pereza— te evita preocupaciones mañana. Es de esos casos donde curarse en salud es la mejor opción.
¿Otra vez? Sí, esto ya pasó en 2022… y ahora se repite
Lo más llamativo de este nuevo aviso es que Plex ya vivió una situación muy parecida en 2022, donde también se filtraron datos como emails, nombres de usuario y contraseñas cifradas. En esta ocasión, el mensaje oficial enviado a los usuarios es casi calcado: un tercero ha accedido a una base de datos y, aunque las contraseñas estaban correctamente hasheadas, recomiendan cambiarlas por precaución. En el comunicado aseguran que no se han visto comprometidos datos bancarios, ya que no se almacenan en sus servidores.
La propia Plex reconoce que se ha contenido el incidente rápidamente y que ya han corregido la vía de entrada que permitió el acceso no autorizado, además de estar auditando sus sistemas para blindarlos aún más. También recuerdan que nadie de Plex te va a pedir tu contraseña ni datos de pago por email, y que lo mejor que puedes hacer es cambiar la contraseña, cerrar sesiones y activar el 2FA. Poco más que añadir… salvo que esperemos que no haya una tercera vez.
Un sustito que se arregla en cinco minutos
No hace falta entrar en pánico, pero sí tomarse en serio el aviso de Plex. Aunque las contraseñas estén cifradas y no haya datos bancarios comprometidos, mejor cambiar la clave, cerrar sesiones y activar el 2FA cuanto antes. Son solo unos minutos y te quedas tranquilo.
Y ya que te pones, aprovecha para ordenar tu Plex, limpiar accesos antiguos y actualizarlo todo. Porque en estos casos, como siempre, mejor curarse en salud que lamentar después.
