En las últimas horas ha trascendido la noticia de una masiva filtración de 71 millones de credenciales, viéndose afectados numerosos usuarios particulares y empresas y generando pérdidas económicas cuantiosas. Calificada como la mayor vulneración de seguridad de la historia cibernética, incluye 25 millones de nuevas cuentas que nunca antes habían sido sustraídas.
El robo, publicado por el investigador Troy Hunt (del operador Have I Been Pwned?), fue publicado en un mercado clandestino que se encarga de negociar la venta de contraseñas comprometidas. Si bien es cierto que, pese a llevar cuatro meses en circulación, no se le había dado la mayor importancia al considerar que eran las mismas contraseñas que venían circulando con anterioridad.
Los elementos diferenciadores de este robo masivo
Hunt llegó a la conclusión que se sustrajeron 319 archivos con un total de 104 GB, 70.840.771 direcciones de correo electrónico únicas, 427.308 suscriptores individuales de HIBP afectados y el 65,03% de las direcciones ubicadas en HIBP.
Si un tercio de las direcciones de email son sustraídas, un dato realmente llamativo, significa que se está ante un robo masivo de datos. De este modo, se denota que se ha trabajado con malware que ha obtenido credenciales de máquinas y dispositivos comprometidos en su totalidad.
Los sitios vulnerados han sido Facebook, Roblox, Coinbase, Yammer y Yahoo, entre otros. Llama la atención que las contraseñas aparecen recopiladas en texto, sin formato, pues casi siempre las credenciales que se roban figuran cifradas criptográficamente.
Errores humanos que llevan a la vulneración de la seguridad
Este robo masivo se produce como consecuencia de la debilidad de las contraseñas, pues de los 100 millones de contraseñas únicas acumuladas, han apareció un total de 1.300 millones de veces. Se suceden, por tanto, filas duplicadas, prevalencia de personas que usan la misma contraseña en múltiples servicios diferentes y personas distintas que coinciden en la contraseña utilizada.
En su investigación, Hunt se ha encargado de verificar una muestra de las credenciales para ver si las direcciones de correo electrónico se encontraban asociadas a cuentas en los sitios web afectados. La conclusión fue que las contraseñas eran válidas en 2020 o 2021. Normalmente, en su mayoría, proceden de una infracción llamada naz.api que fue donada anteriormente a un sitio diferente.
De igual modo, Hunt concluye que un elevado porcentaje de las credenciales sustraídas no procedían de malware, sino de relleno de credenciales. Se trata de una fórmula novedosa de ataque basada en el secuestro de cuentas y la posterior recopilación masiva de credenciales de cuentas robadas a partir de infracciones previas. Así pues, muchos de los rellenos de credenciales demostraron que algunas contraseñas se venían empleando desde antes de 2011.
La solución: configurar contraseñas más seguras
Hunt concluye su investigación con un resumen que parece casi evidente. Para ello resulta fundamental escoger contraseñas seguras y mantenerlas fuera del alcance de miradas indiscretas.
Así pues, es fundamental crear una contraseña larga generada aleatoriamente, conformada por, al menos, 11 caracteres y cuatro palabras elegidas al azar en un diccionario de más de 50.000 entradas. Existen herramientas eficaces y gratuitas para ello como Bitwarden. Esa contraseña se almacena posteriormente en la bóveda del administrador de contraseñas.
Es fundamental evitar que las contraseñas seguras se viesen comprometidas, por lo que no habrá que ingresarlas en sitios de phishing y habrá que procurar mantener lo dispositivos liberados de ataques de malware.
La doble autenticación, con una clave de seguridad o aplicación de autenticación, será fundamental, añadiéndose a la protección del administrador de contraseñas con 2FA. Además, es importante usar claves de acceso para mantenerse inmune al robo.
El hecho de crear una cuenta en Have I Been Pwned? también se plantea como una solución eficaz y en pro de la productividad y la seguridad. Para ello, es importante ingresar periódicamente direcciones de email en el cuadro de búsqueda del sitio y verificar si existen infracciones previas.
El sitio no registra direcciones de correo electrónico ni carga contraseñas correspondientes con datos de otras credenciales almacenadas con anterioridad. Se crean contraseñas específicas, buscando dentro de una determinada base de datos y garantizando en todo momento el pleno anonimato.
Para obtener una plena seguridad, todo parte de la formación y concienciación tanto por parte de los usuarios como de los empleados de las empresas, pues sus decisiones acabarán afectando al conjunto, especialmente en términos estratégicos y económicos.
La entrada 71 millones de contraseñas se ponen a la venta: el mayor robo de la historia es original de MuySeguridad. Seguridad informática.