Hay más cuentas "hackeadas" que humanos en la tierra.
Actualizado: 19 jun 2021
Confirmado. El 9 de marzo del 2019 se superó el número de cuentas comprometidas que personas viven en el planeta.
Troy Hunt es el creador de un fantástico servicio llamado Have I Been Pwned (HIBP) algo así como "¿estoy comprometido?". Se trata de una web donde introduces tu email y te da la buena o mala noticia. Es decir, si tu email estaba en alguna de las bases de datos robadas a las grandes corporaciones o si de momento sigues teniendo suerte.
La web de Troy ha demostrado ser tan útil en el mundo de la ciberseguridad que hasta el propio FBI ha decidido utilizarla. Desde junio del 2021 el FBI alimenta también la base de datos de Have I been Pwned con todas las cuentas y contraseñas que va encontrando durante sus investigaciones criminales.
https://tech.co/news/have-i-been-pwned-share-fbi-passwords
El FBI y la web de Troy ya trabajan juntos para hacer de internet un sitio mas seguro
Población de la tierra según ultimo informe demográfico de las Naciones Unidas (Ene 2017): 7.500.000.000
Cuentas comprometidas según haveibeenpwned (Feb 2019) 7.804.688.260
Bien es cierto que muchos de estos datos pueden estar duplicados ya que la misma persona puede encontrarse en diferentes servicios comprometidos. Por ejemplo, podría haber sido robada la misma cuenta en Facebook y en Under Armour. Aun sabiendo esto, uno no deja de quedarse sorprendido ante la magnitud de las cifras.
Facebook, Marriott, Under Armour, ¿quien es robado más?
La lista parece no tener fin y cada 3 o 4 meses se suma alguna víctima más como si de una macabra competición de datos robados se tratara. A finales del 2018 Marriott confirmó 500 millones de cuentas robadas y ahora le ha tocado el turno a Under Armour con 143 millones.
Las brechas de seguridad o "data breach", como se conoce en inglés, son datos robados usando vulnerabilidades de los sistemas y las compañías rara vez se enteran de que lo más valioso que poseen acaba de salir por su puerta de atrás. Semanas o meses más tarde, les llega la noticia por algún hacker ético o algún consultor de ciberseguridad que se los encuentra en venta por la dark web u olvidados en algún lugar de internet, como si ya no tuvieran ningún valor.
Eso fue lo exactamente lo que le pasó a Bob Diachenko, un consultor de ciberseguridad que se encontró el 25 de febrero con una base de datos de 150 GB sin contraseña en MongoDB, una web dedicada al hospedaje de datos. El archivo tenía 763 millones de cuentas de correo, 4 millones de ellas con teléfono incluido. Bob no cabía en su asombro y se puso a investigar quien sería el infortunado dueño. La víctima resultó ser Verifications.io, una compañía dedicada a la verificación de correos electrónicos. Una vez Diachenko les alertó de su hallazgo, la organización cerró inmediatamente el acceso a su web, más tarde desapareció el portal y ahora, si no fuera por los archivos históricos, nadie diría que hubiera existido.
Se trata de la brecha de seguridad más grande cometida a una empresa en la historia y la segunda colección mayor que existe. Por delante sólo está la llamada Collection #1 que fue encontrada en un fórum para hackers y que contenía datos recopilados de diferentes fuentes.
En febrero del 2019 Verifications.io, una empresa de dedicada a la validación de emails, sufrió el robo de 763 millones de cuentas. La web lleva desaparecida desde entonces.
Ante este escenario ¿qué puedo hacer para protegerme?
Parece que todo está perdido y que sólo es cuestión de tiempo para que también sea mi cuenta la que un día forme parte de estas enormes listas. Y pasará porque efectivamente, es solo cuestión de tiempo. Pero sabiéndolo de antemano puedo, mediante unos sencillos pasos, estar preparado y a salvo.
Como primer punto date de alta en el servicio de notify me. ironGate ha creado una página para ayudarte en el proceso: Entra en https://www.irongate.es/notify y sigue los sencillos pasos para darte de alta. Se te notificará enseguida que tu email aparezca en alguna fuga de datos. Eso te dará tiempo para cambiar la contraseña antes de que empiecen a utilizarla los malos.
Utiliza un gestor de contraseñas. Así podrás poner una contraseña diferente en cada sitio y además podrás poner una más compleja que la que estas usando ahora. Con el gestor puedes ponerlas aleatorias y solo tienes que cortar y pegar. Incluso el propio gestor te puede autentificar automáticamente en tus servicios.
Si no quieres usar un gestor de contraseña al menos regístrate en los sitios webs conocidos usando tu cuenta de Facebook o Google. Ya es muy habitual que los portales te den esas dos opciones para registrarte. De esta forma, si esa web es hackeada, no podrán robar tu contraseña pues con este tipo de autentificación la contraseña no se almacena localmente. NOTA: ¡Nunca hagas esto en webs desconocidas porque podrías ser victima de phishing y te podrían robar la contraseña!
Siempre utiliza la doble autentificación o la llamada verificación en dos pasos para tus cuentas importantes (Facebook y Google en el caso anterior). Así nadie podrá entrar en tu cuenta sin que tu lo apruebes previamente mediante tu teléfono.
Sabiendo que es solo cuestión de tiempo que mi email acabe comprometido, puedo, mediante unos sencillos pasos, estar preparado y a salvo.
¡Horror! Me he encontrado en la lista de HIBP.
¿Qué puedo hacer?
Primero, que no cunda el pánico! Salir en una lista donde hay 7 mil millones de registros no parece ser muy difícil ¿no crees? Si el email que has introducido lo tienes desde hace años, lo raro sería no salir. Yo probé con uno mio antiguo y también me asuste!
Lo importante es que tu contraseña haya cambiado después de la fecha de la fuga. Mira el listado de las empresas comprometidas y si tienes cuenta en alguna de ellas, cambia la contraseña por si acaso.
Si eres de aquellos que usan la misma contraseña para todos los sitios web, te va a tocar cambiarla en todos ellos pero esta vez hazlo mejor y crea una diferente para cada sitio. Es común que los cibercriminales prueben las contraseñas robadas de un sitio, en otro. Por ejemplo, no seria nada raro que probaran las credenciales robadas de Marriott, en la web de Gmail para ver si funcionan. Cuanto más sepan de una victima mejor podrán atacarla y tener acceso a su correo es una de las mejores formas para conocerla.
Como hemos dicho en el anteriormente apúntate a las notificaciones de HIBP a través de nuestra página https://www.irongate.es/notify y así te avisarán de las nuevas brechas de seguridad. Esas sí son importantes porque ahí tendrás aun una contraseña válida.
Recuerda que nada puede sustituir al sentido común. Poner antivirus, firewalls, VPN y todo tipo de inteligencia artificial para protegerte siempre es una gran ayuda pero la mejor capa de protección eres tú.
Ricky Fuster