En una de las filtraciones más grandes de la historia, más de 772 millones de emails y 21 millones de contraseñas únicas han quedado expuestos.
La brecha de seguridad ha sido bautizada por Troy Hunt como Collection #1 (nombre de la carpeta en la que encontró toda la información).
Hasta ahora, se desconoce el origen y el autor de la filtración y, pese a que los archivos ya se han retirado de MEGA, es posible que varias personas tengan copias de esta base de datos e incluso vuelvan a compartirla en la web.
Después de analizar toda la información, el experto en ciberseguridad ha comprobado que algunos emails y contraseñas ya habían sido expuestos previamente.
Aún así, más de 140 millones de correos electrónicos y de 10 millones de contraseñas corresponden a las filtraciones.
‘Simplemente parece una colección completa aleatoria de sitios para maximizar la cantidad de sitios disponibles para los hackers’, comentó Hunt a la revista especializada en tecnología Wired.
El riesgo de que alguien tenga acceso a un correo electrónico es que puede acceder a todos los detalles de los emails, incluso suplantar la identidad.
Además, si se usa el mismo usuario y contraseña en otras plataformas de Internet, los hackers podrán acceder a diferentes servicios, como las redes sociales o cuentas bancarias.
‘Las personas hacen listas como esta [Colección #1] con nuestro correo electrónico y contraseñas y luego intentan ver donde más funcionan. El éxito de esta táctica se basa en que las personas reutilizan las mismas credenciales en múltiples servicios’, explica Hunt.
Esta no es la primera vez que ocurre una filtración de este tipo, pero en este caso destaca la magnitud de usuarios afectados. Se trata de una de las filtraciones de datos de usuarios más grandes de la historia, por detrás del hackeo admitido por Yahoo el 2017.
La compañía reconoció que el robo masivo de datos afectó a 3,000 millones de cuentas que estaban activas en ese momento.
¿Cómo saber si mi email fue expuesto?
Pese a que el archivo ya sido eliminado del blog, Hunt apunta que se tiene un serio problema si alguien ya tiene en su poder las credenciales, y recomienda comprobarlo.
Para ello, basta con acceder al sitio Have I Been Pwned e introducir la dirección de correo electrónico.
En caso de que la cuenta haya sido expuesta, se recomienda cambiar las contraseñas de las cuentas más importantes o confidenciales (como de la banca y pagos en línea, así como redes sociales), preferiblemente a través de un administrador de contraseñas.
Después, implementar la autenticación de dos factores cada vez que sea posible.
En el caso de que se reutilice la contraseña en diferentes servicios, una buena opción sería utilizar un gestor de credenciales. Estos programas se encargan de generar contraseñas aleatorias y la recuerdan por nosotros.
Have I Been Pwned no solo indica si se es uno de los afectados por Collection #1, sino si el email forma parte de alguna brecha de seguridad detectada por Hunt en los últimos años.
‘La única contraseña segura es la que no puedo recordar’, afirma Hunt.
Pese a que sostiene que los administradores de contraseñas son la mejor opción para garantizar la seguridad de las cuentas en Internet, es consciente de que hay personas que probablemente prefieran guardar sus claves a la antigua usanza: ‘Si usar un administrador de contraseñas digital es un paso demasiado grande, vaya a la vieja escuela y obtenga uno analógico. Es decir, un cuaderno. Anotar las contraseñas únicas en un libro y manténgalas dentro de una caja cerrada, es mucho mejor que reutilizarlas en toda la web’.
