Lo curioso del caso es que esta llevaba unos cuatro meses circulando y no se le había prestado la atención debida al considerar que era solo una recopilación de otras filtraciones anteriores con números inflados, pero realmente incluía 25 millones de nuevas cuentas nunca antes vulneradas.
71 millones de contraseñas robadas
Troy Hunt, operador de Have I Been Pwned?, uno de los sitios de referencia para saber si ha habido violaciones de seguridad en tus cuentas de usuario, ha informado que desde hace 4 meses lleva circulando un archivo que incluye casi 71 millones de contraseñas únicas robadas de sitios como la red social Facebook, la plataforma de gaming Roblox, la plataforma de criptomonedas Coinbase, eBay y Yahoo.
El motivo que podría justificar que se publicara en septiembre un anuncio de venta de esta base de datos de contraseñas robadas en un conocido mercado clandestino que negocia las ventas de credenciales comprometidas y no se haya levantado una alarma a nivel mundial es que generalmente este tipo de publicaciones realmente solo suelen ser recopilaciones de otras filtraciones de contraseñas.
Sin embargo, analizando más a fondo lo que incluía este contenido, una lista de nombre Naz.API, se observó que contenía lo siguiente:
- 319 archivos con un total de 104 GB
- 70.840.771 direcciones de correo electrónico únicas
- 427.308 suscriptores individuales de HIBP afectados
- El 65,03% de las direcciones ya están en Have I Been Pwned?
Ese último dato es el más significativo, pues significa que la base de datos contenía casi 25 millones de contraseñas que nunca antes se habían filtrado. “Ese último número fue el verdadero truco. Cuando un tercio de las direcciones de correo electrónico nunca antes se habían visto, eso es estadísticamente significativo. Esta no es solo la colección habitual de listas reutilizadas envueltas con un lazo nuevo y presentadas como la próxima gran novedad; es un volumen significativo de datos nuevos. Cuando miras la publicación del foro anterior con los datos adjuntos, la razón queda clara: son ‘registros ladrones’ o, en otras palabras, malware que ha obtenido credenciales de máquinas comprometidas”, escribió Hunt.
Un malware roba-contraseñas
De acuerdo con la afirmación de que las credenciales fueron recopiladas por un “ladrón”, el nombre que se ha dado a un tipo de malware que se ejecuta en el dispositivo de la víctima y carga todos los nombres de usuario y contraseñas ingresados en una página de inicio de sesión, las contraseñas aparecen en texto sin formato. Las credenciales de cuenta tomadas en violaciones de sitios web casi siempre están cifradas criptográficamente. Otro de los aspectos curiosos de esta increíble violación de seguridad que ha expuesto millones de contraseñas es que demuestra que la mayoría de las mismas son muy débiles y fácilmente hubieran caído en un simple ataque de diccionario de contraseñas. Se siguen usando contraseñas como 1234 y password y eso es un caramelito para los ciberdelincuentes.
Si quieres comprobar si eres uno de los millones de afectados, todas las direcciones de correo electrónico ahora están en HIBP y se pueden buscar individualmente o mediante dominio y todas esas contraseñas están en Pwned Passwords.
