Te contamos cómo comprobar
si eres uno de los afectados por la brecha de seguridad
Más de 772 millones de
emails y 21 millones de contraseñas únicas han sido expuestos en un foro para
hackers en una de las filtraciones más grandes de la historia, según ha
informado en su blog personal el experto en ciberseguridad Troy Hunt.Todos los
datos se encuentran recopilados en un archivo gigantesco de 87GB alojado en el
servicio de almacenamiento en la nube MEGA. La brecha de seguridad ha sido
bautizada por Hunt como Collection #1 —el nombre de la carpeta en la que
encontró toda la información—.
Por el momento, se
desconoce el origen y el autor de la filtración. Pese a que los archivos ya se
han retirado de MEGA, es posible que varias personas tengan copias de esta base
de datos e incluso vuelvan a compartirla en la web. Tras analizar toda la
información, el experto en ciberseguridad ha comprobado que algunos emails y
contraseñas ya habían sido expuestos previamente. Aún así, más de 140 millones
de correos electrónicos y de 10 millones de contraseñas corresponden a nuevas
filtraciones. "Simplemente parece una colección completamente aleatoria de
sitios para maximizar la cantidad de credenciales disponibles para los
hackers", ha contado Hunt a la revista especializada en tecnología Wired.
Cómo saber si tu móvil ha
sido ‘hackeado’
El peligro de que alguien
tenga acceso a un correo electrónico es que puede acceder a todos los detalles
de los emails e incluso suplantar la identidad. Además, si se usa el mismo
usuario y contraseña en otras plataformas de Internet, los hackers podrán
acceder a diferentes servicios como las redes sociales o cuentas bancarias.
“Las personas hacen listas como esta [Colección #1] con nuestro correo
electrónico y contraseñas y luego intentan ver dónde más funcionan. El éxito de
esta táctica se basa en que las personas reutilizan las mismas credenciales en
múltiples servicios”, explica Hunt en su blog. Este experto en ciberseguridad
es responsable de Have I Been Pwned, una web que permite saber si un email o
clave de acceso se han visto comprometidos.
No es la primera vez que
tiene lugar una filtración de este tipo. Pero en este caso destaca la magnitud
de usuarios afectados. Se trata de una de las filtraciones de datos de usuarios
más grandes de la historia, por detrás del hackeo admitido por Yahoo en 2017.
La compañía reconoció que el robo masivo de datos que sufrió en 2013 afectó a
las 3.000 millones de cuentas que estaban activas en ese momento.
Cómo saber si eres un
afectado
Carpetas con los emails y contraseñas
expuestos en un foro de 'hackers'.
Pese a que el archivo ya
ha sido eliminado del blog, Hunt apunta que se tiene “un serio problema” si
alguien ya tiene en su poder las credenciales, y recomienda comprobarlo. Para
ello, basta con acceder a la web Have I Been Pwned e introducir la dirección de
correo electrónico. Esta plataforma no solo indica si se es uno de los
afectados por Collection #1, sino si el email forma parte de alguna brecha de
seguridad detectada por Hunt en los últimos años.
No obstante, Have I Been
Pwned no permite al usuario comprobar a qué contraseña está asociado ese email.
Pese a que muchos usuarios solicitan a Hunt esta información, él se niega a
proporcionarla porque considera que el correo electrónico no es “un canal de
comunicación seguro” para enviar credenciales.
No obstante, también
ofrece la posibilidad de buscar si una contraseña concreta ha sido afectada a
través de Pwned Passwords, una base de datos que recopila más de 551 millones
de credenciales expuestas en alguna filtración. Por ejemplo, al introducir la
contraseña “123456”, una de las más habituales entre usuarios, pero que se debe
evitar a toda costa, el sistema indica que “ha sido vista 23.174.662 veces
antes”. “Esta contraseña ha aparecido previamente en una violación de datos y
nunca debe usarse. Si alguna vez la has usado en alguna parte, ¡cámbiala!”,
alerta la web.
Es recomendable que todos
los afectados cambien la contraseña de sus cuentas cuanto antes y activen la
verificación en dos pasos siempre que sea posible. En el caso de que reutilice
la contraseña en diferentes servicios, una buena opción sería utilizar un gestor
de credenciales. Estos programas se encargan de generar contraseñas aleatorias
y las recuerdan por nosotros.
“La única contraseña
segura es la que no puedo recordar”, afirma Hunt en el blog. Pese a que
sostiene que los administradores de contraseñas son la mejor opción para
garantizar la seguridad de las cuentas en Internet, es consciente de que hay
personas que probablemente prefieran guardar sus claves a la antigua usanza:
“Si usar un administrador de contraseñas digital es un paso demasiado grande,
vaya a la vieja escuela y obtenga uno analógico. Es decir, un cuaderno. Anotar
las contraseñas únicas en un libro y mantenerlas dentro de una casa cerrada es
mucho mejor que reutilizarlas en toda la web”.
