Vivimos en un mundo digitalizado donde tenemos numerosas cuentas. Estamos registrados en plataformas de correo, tiendas online, servicios de streaming, aplicaciones móviles, entre muchas otras. Y, con el paso de los años, vamos acumulando cada vez más nombres de usuario y contraseñas.
Pese que muchas veces podemos sentirnos seguros, existe cierta probabilidad de que algunas de nuestras credenciales acaben filtrándose. En términos generales, esto puede deberse a un incidente por nuestro lado, el de los usuarios, o por uno que involucra a las compañías en la que hemos confiado.
Millones de contraseñas en el un foro
Las filtraciones de datos son una realidad incómoda. A lo largo de los años hemos visto circular compilaciones con millones de contraseñas, lo que ha llevado a Google y Microsoft a añadir herramientas para comprobar si las contraseñas almacenadas en el navegador se han visto comprometidas.
Esta semana ha salido a la luz una nueva compilación masiva de datos filtrados que está circulando de manera gratuita en foros que suelen frecuentar los ciberdelincuentes. Se trata de 71 millones de direcciones de correo electrónico y 100 millones de contraseñas almacenadas en texto sin formato.
La filtración ha sido revelada por Troy Hunt, un reputado analista de ciberseguridad que hace años creó la página Have I Been Pwned para ayudar a identificar datos filtrados. Hunt explica que tomó muestras del enorme archivo de 104 GB para obtener algunos detalles sobre él.
Captura de parte de la colección de datos
Después de numerosas pruebas, algunas de las cuales contaron con la colaboración de las víctimas, llegó a la conclusión de que la compilación contiene direcciones de correo electrónico y contraseñas reales, aunque con una peculiaridad: parece haber muchas contraseñas antiguas.
Hunt también descubrió que el 67% de los datos ya habían sido incluidos en Have I Been Pwned, pero el 33% restante era completamente nuevo. En cualquier caso, se trata de millones de contraseñas que están al alcance de los ciberdelincuentes, problema que puede complicarse en algunos escenarios.
La página de Pwned Passwords
Si bien algunos servicios impulsan a los usuarios a cambiar de contraseña después de cierta cantidad de tiempo, otros no hacen nada al respecto. En este sentido, es probable que haya afectados cuyas claves tengan una buena cantidad de años. Pero este no es el único problema.
También entra en escena la reutilización de contraseñas, una práctica muy común que los actores maliciosos pueden aprovechar. Dado que también se han filtrado direcciones de correo, una contraseña reutilizada filtrada puede abrir la puerta a un compromiso de seguridad en otros servicios.
Como decimos, todas las contraseñas filtradas han sido añadidas a un servicio denominado Pwned Passwords, que permite a los usuarios consultar si han sido filtradas. Se trata de una herramienta de código abierto de los creadores de Have I Been Pwned que promete proteger la privacidad.
Pwned Passwords funciona bajo la misma mecánica que Have I Been Pwned. En el cuadro que aparece en la página web tienes que escribir la contraseña que quieres comprobar. Después de esto, la herramienta te dirá si la contraseña ha sido expuesta. En caso afirmativo, lo primero que deberías hacer es cambiarla.
Cabe señalar que, si bien Pwned Passwords ha sido desarrollado por actores reconocidos del mundo de la ciberseguridad, y los detalles del proyecto se pueden consultar públicamente, los usuarios deben utilizar esta herramienta bajo su propia responsabilidad.
Imágenes: Mika Baumeister | Troy Hunt
En Xataka: Qué hacer si se filtra una de tus contraseñas en Internet
Ver 18 comentarios