Tras la revelación de que había aparecido en línea una lista que contenía millones de nombres de usuario y contraseñas robados, le contamos algunas formas diferentes de averiguar si sus credenciales fueron robadas en esa o cualquier otra brecha de seguridad.
A mediados de enero, el investigador Troy Hunt reveló que había una lista flotando en el almacenamiento en la nube de MEGA y en varios foros de piratería. Nombrada Colección # 1, contiene el mayor robo organizado de contraseñas en una lista hasta la fecha, que abarca más de 700 millones de direcciones de correo electrónico y más de 20 millones de contraseñas.
Cada vez que escuchamos algo como esto, es natural preguntarse si nuestras direcciones de correo electrónico y/o contraseñas que usamos para iniciar sesión en nuestras cuentas están entre ellos o si han sido robados como parte de alguna otra infiltración o violación de la seguridad.
Saber si nos han robado o no nuestras credenciales también puede darnos una idea de si las contraseñas que estamos eligiendo cuando nos damos de alta en un nuevo servicio o cuando actualizamos nuestra contraseña son suficientemente seguras. En este artículo le diremos cómo saber si su dirección de correo electrónico o contraseña ha sido robada y cómo verificar si las contraseñas que está eligiendo son seguras o no.
El primer servicio que veremos es Have I Been Pwned. Este servicio permite a los usuarios verificar si nuestra dirección de correo electrónico ha sido robada e incluida en una de las varias listas de información de correo electrónico y contraseña que circulan en línea. Además, su base de datos está muy actualizada e incluye correos electrónicos y contraseñas que han sido robadas recientemente.
Al ingresar al sitio, un visitante podrá ver una base de datos de más de 6 mil millones de cuentas que han sido robadas.
Decidimos verificar una dirección de correo electrónico y, lamentablemente, vimos que la dirección que ingresamos en realidad había sido robada. Al desplazarnos hacia abajo en la página, vimos más detalles sobre los tipos de servicios que comprometieron la dirección de correo electrónico que verificamos.
Por ejemplo, hay casos bien conocidos como las violaciones de datos de LinkedIn y Taringa, así como algunas de las listas que circulan regularmente y contienen datos recopilados de varios sitios web.
Una vez que sabemos, ¿qué podemos hacer?
No hace falta decir que debemos cambiar nuestras contraseñas en los sitios web mencionados, pero como también es muy común que las personas usen las mismas credenciales para más de un sitio web o servicio, debemos cambiar la contraseña robada en todos los sitios web que usamos porque, una vez que nuestra contraseña está en manos de otra persona, no podemos saber en cuántos sitios web diferentes podrían intentar iniciar sesión con esas credenciales.
Cuando se trata de elegir una nueva contraseña, se recomienda otra herramienta muy útil en el mismo sitio web.
Esta vez, el sitio web indica cuántas veces se usó y posteriormente se robó la contraseña ingresada.
Si intentamos introducir algunas de las contraseñas que suelen aparecer en los rankings de contraseñas más utilizadas, por increíble que parezca, obtenemos los siguientes resultados:
| Contraseña | Número de veces que ha sido robado |
| 123456 | 23.174.662 |
| contraseña | 3.645.804 |
| QWERTY | 3.810.555 |
| 111111 | 3.093.220 |
| 183.778 | |
| 64.811 | |
| !A3Z6B:9#S.2 | 0 |
Como podemos ver, si probamos una contraseña completamente aleatoria, es muy probable que no esté relacionada con ninguno de los datos robados/perdidos y, por lo tanto, probablemente no se haya utilizado o no se haya descifrado. Esto nos da una buena idea de lo que hace que una contraseña sea segura, o al menos menos probable que termine en manos de otra persona.
Lea también: ¿Cómo mejorar la seguridad de Windows 10?
Otro aspecto importante a tener en cuenta a la hora de elegir una contraseña segura, además de comprobar si aparece en una base de datos de contraseñas robadas, es seguir las buenas prácticas.
- Usar una combinación de caracteres alfanuméricos
- Usar caracteres especiales
- Debe tener al menos 8 caracteres (y más de 10 le darán aún más confianza contra un ataque de fuerza bruta)
- Además, considere usar la autenticación de dos factores, que agrega un segundo nivel de seguridad además de la contraseña elegida.
Pero lo más importante es que sea fácil de recordar, si nos cuesta recordar todas las contraseñas, lo mejor es anotarlo en un papel o, mejor aún, pegarlo debajo del monitor -o esconderlo en un lugar seguro-. , en retrospectiva, las medidas de seguridad que hemos utilizado serán inútiles.
Para los usuarios que utilizan un administrador de contraseñas como KeePass, que permite generar y almacenar combinaciones más seguras cifradas dentro del propio administrador de contraseñas, hay una opción para comparar todas las contraseñas almacenadas en él con la base de datos Have I Been. una herramienta publicada en GitHub.
La aplicación se llama kdbxpasswordpwned y te permite comparar automáticamente todas las contraseñas que tienes almacenadas en KeePass con la base de datos de contraseñas robadas.
Aunque la aplicación está dirigida a usuarios con conocimientos técnicos superiores a la media, las siguientes instrucciones detalladas deberían ayudar a que sea más fácil de usar.
- Primero, instale la aplicación en su sistema (que ya debe tener Python instalado) usando la siguiente línea de comando:
$ pip instalar kdbxpasswordpwned
- Una vez instalado, vaya al directorio donde se encuentra su archivo .kdbx (.kdbx es el formato de archivo para el administrador de contraseñas de KeePass) y ejecute el siguiente comando:
Kdbxpasswordpwned passkeys.kdbx
Como era de esperar, te pedirá la contraseña de tu archivo encriptado, para luego comparar cada una de las contraseñas que tienes almacenadas en el administrador. En este ejemplo, podemos ver que dos de las contraseñas de ejemplo que hemos almacenado han surgido como aciertos. Entonces, si se tratara de contraseñas reales, esto debería indicarnos que las cambiemos de inmediato en los servicios donde las usamos.
Y para dar un último consejo en este post (porque siempre vale la pena prestar atención a lo que hacen los ciberdelincuentes con la información que obtienen), debemos tener cuidado si recibimos correos electrónicos donde el remitente intenta extorsionarnos porque tiene nuestras contraseñas. .
Últimamente hemos notado que todavía se están ejecutando campañas falsas de sextorsión, en las que se envía al destinatario un correo electrónico que contiene su contraseña en el mensaje (en la línea de asunto o en las primeras líneas del cuerpo del texto) y se le pide que pague una suma de dinero.
Recuerde cambiar sus contraseñas periódicamente, incluso si las aplicaciones y los servicios que utiliza no lo solicitan, y utilice la autenticación de dos factores para los servicios que lo permitan. De esta manera, puede mantener sus datos personales más seguros y reducir las posibilidades de que otra persona tenga acceso a ellos.
Lea también: Guía de seguridad de Android: haga que su teléfono sea 100% seguro
Para leer más:
- Los mejores gestores de contraseñas para Android si buscas salir de LastPass
- Cómo ver las contraseñas guardadas en Mac
- Contraseña Wifi olvidada, cómo recuperarla
- Cómo ver la contraseña oculta por asteriscos
- Cómo saber quién está usando mi WiFi
