La lista de correos y contraseñas se encuentra en un popular foro de ‘hackeos’ y es accesible libremente
Un investigador de seguridad digital ha revelado el mayor ‘hackeo’ de datos de la historia, que eclipsa cualquier otra acción similar cometida hasta ahora. Este robo de datos ha supuesto la exposición de más de 770 millones de correos electrónicos y 21 millones de contraseñas únicas.
La intercepción, apodada ‘Collection #1’, contiene 2.692.828.238 filas de datos en bruto de potencialmente miles de fuentes diversas, según el experto Troy Hunt.
En total, se trata de 1.160.253.228 combinaciones únicas de correos y contraseñas contenidos en más de 12.000 archivos separados, que constituyen 87GB de datos de texto en bruto.
New breach: The “Collection #1” credential stuffing list began broadly circulating last week and contains 772,904,991 unique email addresses with plain text passwords (now in Pwned Passwords). 82% of addresses were already in @haveibeenpwned. Read more: https://t.co/BAa3rbgZo4
— Have I Been Pwned (@haveibeenpwned) 16 de enero de 2019
El ‘hackeo’ es considerado el mayor robo de datos de la historia, y por cantidad de personas afectadas es superado solo por dos incidentes relacionados con Yahoo en 2013 y 2014. “Parece un conjunto de sitios completamente aleatorio para maximizar la cantidad de credenciales al alcance de los ‘hackers'”, dijo Hunt a Wired. “No hay patrones obvios, solo una exposición al máximo”.
Los datos incluyen contraseñas previamente encriptadas que han sido forzadas y convertidas a texto en bruto, y los archivos más tempranos datan en 2008. La información no fue sacada a la venta, sino que simplemente fue subida a la nube MEGA y luego a un popular foro de ‘hackeos’.
Riesgos y recomendaciones
Como resultado de esa filtración existe un alto riesgo de casos del llamado ‘relleno de credenciales’, un ciberataque consistente en usar un programa maligno para introducir automáticamente numerosas combinaciones correo/contraseña en un intento de entrar en la cuenta personal de una u otra persona.
La buena noticia es que la colección no parece contener datos de tarjetas bancarias o números de seguridad social.
Hunt recomienda comprobar en el servicio Have I Been Pwned si nuestro correo electrónico ha sido víctima del ‘hackeo’.
Si encontramos nuestro correo en la lista, lo cual es muy probable, el experto recomienda usar un gestor de contraseñas o incluso recurrir al rudimentario pero efectivo método de escribir nuestras contraseñas en un papel. “Puede ser contrario al pensamiento tradicional, pero escribir contraseñas únicas en un libro y mantenerlas dentro de una casa físicamente cerrada es mejor que reutilizar la misma contraseña en todo Internet”, escribió Hunt en su blog.
Unos pocos afortunados afirman haber evitado ser ‘hackeados’, pero las probabilidades no están a su favor.