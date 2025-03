Troy Hunt lleva años alertándonos de los peligros de que nos roben las contraseñas. Pasaba tan a menudo que acabó convirtiendo esas advertencias en un proyecto que se ha vuelto un referente: Have I Been Pwned. Y a pesar de todo lo que sabe, acaba de caer en un robo de credenciales con el método más común de todos: un correo de phishing.

Le puede pasar a cualquiera. Hunt contaba en su blog cómo cayó en una trampa muy bien elaborada: un correo electrónico de phishing que simulaba provenir de Mailchimp, la plataforma que usa para distribuir su newsletter. En el aviso se le informaba de que había recibido una queja de spam y que sus privilegios de envío en el servicio se verían restringidos. Para resolverlo, eso sí, podía hacer clic en un botón con un enlace.

¿Por qué ese phishing funcionó? Como explicaba este experto, "he recibido una tonelada de mensajes similares que siempre he identificado rápidamente", pero hubo un factor crítico que jugó en su contra: el momento en el que lo recibió y lo leyó. Hunt tenía jet lag y estaba muy cansado cuando recibió el mensaje, y no pensó suficientemente rápido en que algo no estaba bien.

Indicios difíciles de identificar. Tras hacer clic en el enlace, Hunt también notó cómo su gestor de contraseñas no autocompletó los detalles de su cuenta (usuario y contraseñas, normalmente). Esto podría haber sido un indicio de que el dominio desde el que se pedían esas credenciales era sospechoso, pero él mismo indicó que muchas plataformas te registran en un dominio (que guarda el gestor de contraseña) y luego te autentican en otro.

Robo de sus suscriptores. El ataque de phishing provocó que los atacantes le robaran 16.000 registros que pertenecen a gente que se suscribió pero también que ya se había dado de baja de su newsletter. Mailchimp mantiene esos regisros por alguna razón. En esos datos están incluidos direcciones de correo, IPs y datos de latitud y longitud que no obstante no apuntan a la ubicación del suscriptor.

Él también ha sido "pwned". El creador del sitio Have I Been Pwned acabó añadiendo el robo de sus datos a la base de datos que utiliza en esta plataforma, como era de rigor. Como él señalaba en su blog, no hacerlo "hubiera sido una hipocresía". Además tuvo el acierto de contar lo que le había pasado enseguida.

Si un mensaje es súper urgente, sospecha. Los ataques de phishing suelen aprovechar siempre estar escritos con un tono o mensaje de urgencia. Si no actúas, intentan decirte, puede pasarte algo malo. Precisamente por eso en estos mensajes es en los que hay que intentar mantener la cabeza fría y despejada y no actuar de forma instintiva o inmediata. Es probablemente la gran lección que se puede sacar de este suceso.

Las passkeys ayudan. Las contraseñas tradicionales siguen siendo una potencial amenaza ante ataques de phishing, pero hay un método que nos ayuda a evitar esa amenaza en concreto: las passkeys o claves de paso, que hacen uso de biometría segura. Su implementación, eso sí, está bastante fragmentada, pero si depositamos la confianza en un proveedor de passkeys (como Google o Apple, por ejemplo) son sin duda un elemento importante para añadir una capa de seguridad notable, como también lo han sido hasta ahora las autenticaciones en dos pasos (2FA).

Imagen | Saksham Choudhary

En Xataka | Hay usuarios que pasan de las passwords. Y acuden al "olvidé mi contraseña" para generarlas una y otra vez