Inicio

Victor Vollbrecht

Emprendedor, inversor y curioso

Poner la fecha me incomoda

Collection #1: La mayor filtración de cuentas no es para tanto

La frase que resume este texto es: No entre en pánico.

Hace dos días se descubrió que circula por internet un archivo que contiene los datos de más de 770 millones de personas, normalmente una combinación de email y contraseña, que estaba alojado en MEGA:

Captura de Troy Hunt del Collection #1

Sin embargo no es raro que esto ocurra. Regularmente se vuelca la información de miles, y a veces millones, de personas registradas en diferentes plataformas que han sido hackeadas. Es muy probable que alguno de sus emails ya esté ahora mismo a la vista de cualquier persona interesada en hacerse con esa información. Lo que puede hacerlo peligroso es el stuffing, que se trata de usar la misma contraseña para el mismo email pero en diferentes lugares, puesto que tendemos a utilizar una misma contraseña en múltiples sitios. Aún así, recientemente se usa cada vez más la doble autentificación (actívala siempre que puedas y la plataforma lo permita), lo que reduce mucho el peligro y será notificado con una alerta de seguridad si alguien lo intenta.

Esta nueva filtración tiene un nombre que da una pista importante para rebajarle importancia; es una colección de antiguas filtraciones de datos. De los más de 770 millones, solo unos 120 son nuevas incorporaciones. Suena suficiente como para asustarse, pero hay que añadir ciertas variables más. No todos los emails llevan una contraseña asociada, y cuando la llevan, no todas están en lo que se llama plain text, que significa que no están encriptadas. Hay formas de encriptación débiles que ya han sido crackeadas, como el sistema de hash por MD5, que se usaba mucho hace años, pero las contraseñas más recientes suelen estar encriptadas bajo SHA-1, que pueden caer en la categoría débil de unsalted o salted, que simplemente significa si hay un componente extra de aleatoriedad.

En la mayoría de casos las contraseñas están encriptadas, y salvo contadas excepciones, hace falta un gran esfuerzo para crackearlas. ¿Significa eso que está completamente a salvo? En absoluto, pero si llegados a este punto no ha tenido ningún problema respecto a suplantación de identidad o transacciones bancarias extrañas, es muy probable que pase completamente desapercibido y, si le pasa algo, no serán más que emails con mucho spam o amenazas con publicar contenido sensible que le harán creer que tienen pero que no es cierto. Hace relativamente poco hubo una oleada de emails en los que se pedía el ingreso de una cantidad de dinero a una cuenta Bitcoin, y en el email aparecía una contraseña real, pero muy antigua. Estos emails se mandan de forma automática utilizando estas bases de datos hackeadas, y lo mejor que se puede hacer es ignorar el mensaje y borrarlo.

Hablemos de soluciones. Es fácil aunque más tedioso de lo que habrá estado haciendo hasta ahora. La realidad es que sus contraseñas nunca estarán a salvo desde el momento que la escribe en una plataforma de internet o en cualquier otro sitio con conexión a internet. Es por ello que, para evitar que una sola contraseña sea la puerta a cuentas más sensibles como un banco o un acceso profesional, deberá usar una contraseña única para cada lugar, y esta contraseña no debe ser una que pueda recordar. Para hacer esto cómodo existen múltiples soluciones, aunque solo mencionaré el que yo uso.

KeePass es un gestor de contraseñas open-source para organizar cada contraseña, y todo se guarda en un archivo bajo una contraseña maestra, que será la única que debería recordar y hasta escribir en algún papel y esconder en su casa.

El verdadero problema puede venir cuando una persona en particular, que le conoce y le odia, vaya específicamente a por usted e intente crackear únicamente su combinación de email y contraseña para ir probando en el resto de sus cuentas. La forma que tendría esta persona para saber si su información puede estar comprometida o no (y también saberlo usted por sí mismo) es a través de la ya muy conocida página Have I been Pwned?. En este portal al poner un email se puede saber si ha aparecido o no en alguna filtración, y la lista de cuáles, si es así.

En conclusión, sus contraseñas antiguas seguramente ya fueron hackeadas hace tiempo, y esta ‘nueva filtración’ probablemente no le vaya a suponer ningún problema. Cambie sus contraseñas si quiere estar seguro y sepa que no va a ser la última vez que tenga que hacerlo.

Hasta pronto,
Victor a las 13:00

garabato final