¿Fue víctima de la última megafiltración de datos?: Sepa cómo averiguarlo
Troy Hunt, experto en seguridad digital y director regional de Microsoft, puso al descubierto la que se ha catalogado como la mayor filtración de datos que se hace pública en la historia. Cambiar y no repetir contraseñas, entre las principales recomendaciones.
María Alejandra Medina C. / @alejandra_mdn
La más reciente y gigantesca exposición de datos debería hacerlo por lo menos considerar un cambio en sus contraseñas actuales. Más de 87 gigabytes de direcciones de correo electrónico y passwords sería el total de la información filtrada, según el experto en seguridad digital Troy Hunt, quien reportó el hecho. Son cerca de 22 millones de contraseñas únicas y 772 millones de direcciones de correo las que estuvieron disponibles en el servicio en la nube MEGA y que, según Hunt, fueron socializadas en un foro de hackers.
El origen de esta brecha, que ha sido bautizada “Collection #1”, posiblemente es el resultado de muchas otras provenientes de “literalmente miles de fuentes diferentes”, que datan incluso desde 2008, escribió Hunt en una publicación en su sitio web personal.
El experto es la mente detrás de Haveibeenpwned.com, en donde usted puede ingresar su dirección de correo y ver si ha sido víctima en esta u otras filtraciones de datos. Al ingresar, el sitio le pide confirmar que no es un robot. Posteriormente, usted puede digitar su dirección y averiguar los registros. Ofrece, además, herramientas para generar contraseñas seguras, verificaciones y notificaciones de riesgos de seguridad. Según Hunt, Collection #1 es la mayor filtración con la que su página ha tenido que lidiar hasta ahora.
Hunt, australiano y director regional de Microsoft, informó que llegó a este caso luego de recibir varias solicitudes que finalmente lo dirigieron al acervo de información —que ya no está disponible en el servicio— y posteriormente a un “popular” foro —en palabras de él— donde estos datos, incluso información del propio Hunt, estaban siendo compartidos.
“De hecho, no es solo la mayor filtración que se hace pública, sino que es la segunda en tamaño después del par de incidentes de Yahoo —que afectaron a 1.000 millones y 3.000 millones de usuarios, respectivamente. Afortunadamente, los datos robados a Yahoo no han salido a la superficie. Hasta ahora”, escribió Brian Barrett en el medio especializado Wired.
El episodio hace imposible no recordar otra reciente y enorme filtración de datos: la que afectó a la cadena de hoteles Marriott. Inicialmente se habló de 500 millones de afectados, pero luego la estimación bajó a poco más de 380 millones.
¿Qué puede pasar?
“Esta masiva cantidad de datos recolectados a través de brechas de información se había acumulado durante un largo período de tiempo, por lo que es probable que algunos de los detalles de la cuenta ahora estén desactualizados. Sin embargo, no es un secreto que, a pesar del aumento de la conciencia sobre el peligro, las personas se adhieren a las mismas contraseñas e incluso las reutilizan en varios sitios web”, señaló Sergey Lozhkin, experto en seguridad de Kaspersky Lab.
Y añadió: “Las consecuencias del acceso a la cuenta del usuario pueden ir desde ataques phishing muy productivos, ya que los delincuentes pueden enviar automáticamente correos electrónicos maliciosos a la lista de contactos de una víctima, hasta ataques dirigidos diseñados para robar su identidad digital y dinero o para comprometer los datos de su red social”.
“Este tipo de datos, si aún no lo ha hecho, se abrirá camino en la corriente de tráfico malicioso de bots que utilizan técnicas de relleno de credenciales para explotar la toma de control de cuentas”, escribió Davey Winder en la revista Forbes. El propio Winder cuenta que recibió la notificación por parte de Haveibeenpwned.com de que su correo estaba en la lista de filtrados. “El relleno de credenciales, como su nombre lo indica, es cuando las direcciones de correo electrónico y las contraseñas conocidas se intentan en múltiples sitios y servicios con la esperanza de que hayan sido reutilizadas por personas poco conocedoras de la seguridad”.
¿Qué hacer?
Por supuesto: no reutilizar contraseñas viejas ni emplear la misma para diferentes cuentas; cambiar las actuales por combinaciones seguras (de múltiples y diferentes tipos de caracteres), utilizar autenticación de dos pasos cuando sea posible y un gestor o administrador de contraseñas están entre las recomendaciones que hace Hunt en su publicación.
Por otro lado, puede verificar que la información que guarda en sus correos no sea sensible, recomienda Axel Díaz, abogado sénior de Adalid. Por ejemplo, si administra la cuenta de una empresa, evite contener contabilidades, secretos industriales u otro tipo de datos valiosos.
Díaz hace un llamado a ser muy conscientes de la información personal y empresarial que se deposita en los correos y a tener en cuenta que el enlace que se hace de esas direcciones con otras plataformas, como redes sociales y comercios electrónicos, puede, de paso, significar una vulnerabilidad para sus tarjetas de crédito e información sobre su vida, su rutina y su familia, que puede ser aprovechada por los criminales.
Un gestor digital de contraseñas, que las genere, almacene y cifre por usted, es el escenario ideal. Si le queda grande, dice Hunt, puede intentar uno “análogo”. “Puede sonar contrario al pensamiento tradicional, pero escribir sus contraseñas únicas (para cada sitio y cuenta) en una libreta y guardarlas físicamente bajo llave (¡bajo llave!) en su casa es mucho mejor que usar la misma una y otra vez por toda la web. Solo piénselo: usted pasa de tener “actores amenaza” (la gente que quiere poner las manos sobre sus cuentas), que puede ser cualquiera con una conexión a internet y la habilidad de descargar la ampliamente circulada lista de Collection #1, a gente que puede entrar a su casa ¡y que realmente quiere su televisor, no su cuaderno!”, concluyó Hunt en su publicación.
La más reciente y gigantesca exposición de datos debería hacerlo por lo menos considerar un cambio en sus contraseñas actuales. Más de 87 gigabytes de direcciones de correo electrónico y passwords sería el total de la información filtrada, según el experto en seguridad digital Troy Hunt, quien reportó el hecho. Son cerca de 22 millones de contraseñas únicas y 772 millones de direcciones de correo las que estuvieron disponibles en el servicio en la nube MEGA y que, según Hunt, fueron socializadas en un foro de hackers.
El origen de esta brecha, que ha sido bautizada “Collection #1”, posiblemente es el resultado de muchas otras provenientes de “literalmente miles de fuentes diferentes”, que datan incluso desde 2008, escribió Hunt en una publicación en su sitio web personal.
El experto es la mente detrás de Haveibeenpwned.com, en donde usted puede ingresar su dirección de correo y ver si ha sido víctima en esta u otras filtraciones de datos. Al ingresar, el sitio le pide confirmar que no es un robot. Posteriormente, usted puede digitar su dirección y averiguar los registros. Ofrece, además, herramientas para generar contraseñas seguras, verificaciones y notificaciones de riesgos de seguridad. Según Hunt, Collection #1 es la mayor filtración con la que su página ha tenido que lidiar hasta ahora.
Hunt, australiano y director regional de Microsoft, informó que llegó a este caso luego de recibir varias solicitudes que finalmente lo dirigieron al acervo de información —que ya no está disponible en el servicio— y posteriormente a un “popular” foro —en palabras de él— donde estos datos, incluso información del propio Hunt, estaban siendo compartidos.
“De hecho, no es solo la mayor filtración que se hace pública, sino que es la segunda en tamaño después del par de incidentes de Yahoo —que afectaron a 1.000 millones y 3.000 millones de usuarios, respectivamente. Afortunadamente, los datos robados a Yahoo no han salido a la superficie. Hasta ahora”, escribió Brian Barrett en el medio especializado Wired.
El episodio hace imposible no recordar otra reciente y enorme filtración de datos: la que afectó a la cadena de hoteles Marriott. Inicialmente se habló de 500 millones de afectados, pero luego la estimación bajó a poco más de 380 millones.
¿Qué puede pasar?
“Esta masiva cantidad de datos recolectados a través de brechas de información se había acumulado durante un largo período de tiempo, por lo que es probable que algunos de los detalles de la cuenta ahora estén desactualizados. Sin embargo, no es un secreto que, a pesar del aumento de la conciencia sobre el peligro, las personas se adhieren a las mismas contraseñas e incluso las reutilizan en varios sitios web”, señaló Sergey Lozhkin, experto en seguridad de Kaspersky Lab.
Y añadió: “Las consecuencias del acceso a la cuenta del usuario pueden ir desde ataques phishing muy productivos, ya que los delincuentes pueden enviar automáticamente correos electrónicos maliciosos a la lista de contactos de una víctima, hasta ataques dirigidos diseñados para robar su identidad digital y dinero o para comprometer los datos de su red social”.
“Este tipo de datos, si aún no lo ha hecho, se abrirá camino en la corriente de tráfico malicioso de bots que utilizan técnicas de relleno de credenciales para explotar la toma de control de cuentas”, escribió Davey Winder en la revista Forbes. El propio Winder cuenta que recibió la notificación por parte de Haveibeenpwned.com de que su correo estaba en la lista de filtrados. “El relleno de credenciales, como su nombre lo indica, es cuando las direcciones de correo electrónico y las contraseñas conocidas se intentan en múltiples sitios y servicios con la esperanza de que hayan sido reutilizadas por personas poco conocedoras de la seguridad”.
¿Qué hacer?
Por supuesto: no reutilizar contraseñas viejas ni emplear la misma para diferentes cuentas; cambiar las actuales por combinaciones seguras (de múltiples y diferentes tipos de caracteres), utilizar autenticación de dos pasos cuando sea posible y un gestor o administrador de contraseñas están entre las recomendaciones que hace Hunt en su publicación.
Por otro lado, puede verificar que la información que guarda en sus correos no sea sensible, recomienda Axel Díaz, abogado sénior de Adalid. Por ejemplo, si administra la cuenta de una empresa, evite contener contabilidades, secretos industriales u otro tipo de datos valiosos.
Díaz hace un llamado a ser muy conscientes de la información personal y empresarial que se deposita en los correos y a tener en cuenta que el enlace que se hace de esas direcciones con otras plataformas, como redes sociales y comercios electrónicos, puede, de paso, significar una vulnerabilidad para sus tarjetas de crédito e información sobre su vida, su rutina y su familia, que puede ser aprovechada por los criminales.
Un gestor digital de contraseñas, que las genere, almacene y cifre por usted, es el escenario ideal. Si le queda grande, dice Hunt, puede intentar uno “análogo”. “Puede sonar contrario al pensamiento tradicional, pero escribir sus contraseñas únicas (para cada sitio y cuenta) en una libreta y guardarlas físicamente bajo llave (¡bajo llave!) en su casa es mucho mejor que usar la misma una y otra vez por toda la web. Solo piénselo: usted pasa de tener “actores amenaza” (la gente que quiere poner las manos sobre sus cuentas), que puede ser cualquiera con una conexión a internet y la habilidad de descargar la ampliamente circulada lista de Collection #1, a gente que puede entrar a su casa ¡y que realmente quiere su televisor, no su cuaderno!”, concluyó Hunt en su publicación.