Es probable que una o más de sus contraseñas estén almacenadas en una base de datos en la web oscura.
Cada año hay una lista de la mayoría de las contraseñas ‘pirateadas’ o filtradas y siempre presenta variantes en ‘contraseña’ o ‘123456’. Estos intentos perezosos predeterminados y directos de proteger computadoras, dispositivos y software son una de las principales razones por las que existen tantas brechas de seguridad.
Eso, junto con formas cada vez más sofisticadas de descifrar contraseñas y descifrar códigos, ha llevado a que se traiga y venda una gran cantidad de códigos de acceso en la web oscura. No importa qué tan bien escriba una contraseña, existe una gran posibilidad de que tenga una en la web oscura.
No solo sus contraseñas, las que utilizan las grandes empresas para mantener su información segura también están en riesgo. Piense en algunas de las filtraciones más importantes de los últimos años, como British Airways, que vio 380.000 cuentas de usuario filtradas después de que los piratas informáticos implantaran un código falso en su sitio web.
En un mundo donde incluso los teléfonos inteligentes tienen seguridad biométrica, como el reconocimiento facial y los sensores de huellas dactilares, muchas personas aún están más felices con una contraseña. El problema es que necesitamos uno diferente para los múltiples servicios que usamos y nadie parece estar aprovechando los administradores de contraseñas. Se necesita un poco de educación, los peligros tienen que ser detallados y esencialmente necesitamos salvarnos de nosotros mismos.
¿Cómo se roban las contraseñas?
La mayoría de nosotros hemos estado ahí. Luchando por recordar una de nuestras contraseñas, pero atacando las que más usamos con la esperanza de tener suerte. Luego vemos el temido mensaje ‘Demasiados inicios de sesión incorrectos cuenta bloqueada’. El lado positivo, podría pensar, de esta frustrante nube es que alguien que intente piratear su contraseña sufriría un destino similar.
Un mensaje bloqueado puede ser indignante para usted, pero no es un problema para los piratas informáticos.
Lamentablemente, no es así como funciona el mundo. La mayoría de las contraseñas son descifradas por piratas informáticos que trabajan sin conexión y que ya han «adquirido» una base de datos de cuentas de usuario. Luego usarán varios métodos para descifrar las contraseñas de las cuentas. La única vez que intentarán iniciar sesión en su cuenta es cuando ya tengan su contraseña. Entonces, si bien un límite en los intentos de inicio de sesión ayuda a evitar que las personas intenten acceder a sus cuentas casualmente, es inútil si se han filtrado los detalles de su cuenta.
Cómo se ‘hash’ las contraseñas
La buena noticia es que incluso los piratas informáticos que tienen acceso a una base de datos de detalles de la cuenta no pueden ver las contraseñas reales como texto sin formato. Cualquier sitio web de buena reputación nunca almacenará su contraseña. En su lugar, utilizan un algoritmo para convertirlo en un bloque de datos único de longitud fija, conocido como hash.
Por ejemplo, utilizando un algoritmo criptográfico muy popular SHA256, que fue desarrollado por la Agencia de Seguridad Nacional de los EE. UU., La contraseña muy utilizada ‘P @ SSWOrd’ genera un hash de 64 caracteres a partir de ‘BO3DDF3C …’.
Esta contraseña en particular siempre creará este hash único, lo que significa que un sitio web puede compararlo con el hash de la contraseña que ingresa cuando inicia sesión si las dos coinciden, puede ingresar. Puede ver cómo funciona generando hash SHA256 en el sitio web de Password Generator . Observe que cuando modifica un solo carácter, el hash cambia por completo.
Asegurar contraseñas con una pizca de sal
El hash permite que los sitios web almacenen sus contraseñas de forma segura porque es imposible realizar ingeniería inversa, pero los piratas informáticos aún pueden usar cualquier cantidad de técnicas para calcular su contraseña. Lo fácil que sea esto depende de cuán compleja sea su contraseña y de los métodos utilizados por el sitio web para generar su hash.
El generador de contraseñas utiliza el algoritmo SHA256 para crear hashes únicos de 64 caracteres
Para dificultar a los piratas informáticos el uso de tablas de arco iris (bases de datos de contraseñas filtradas) para calcular una contraseña a partir de su hash, la mayoría de los sitios web generan una serie de caracteres aleatorios y los agregan a su contraseña antes de crear el hash, un proceso conocido como ‘salting’ .
Usando una sal de aE92 @ 3 ‘(la mayoría son mucho más complejas que esta), nuestra contraseña anterior de P @ ssword’ se convierte en ‘aE92 @ 3P @ assword’. Debido a que esto genera un hash completamente diferente, es muy poco probable que exista en una tabla de arco iris y, por lo tanto, será mucho más difícil de descifrar. Para aumentar la seguridad, el sitio web utilizará una sal diferente para cada usuario.
Cómo comprobar si sus contraseñas han sido robadas
Cuando se filtran sus contraseñas (o cualquier otra información personal), normalmente terminan agregándose a enormes bases de datos en la web oscura. Tratar de localizarlos para averiguar si ha sido una víctima no solo lleva años, sino que también es arriesgado porque generalmente aparecen en sitios web criminales. Afortunadamente, existen sitios web seguros que puedes usar en su lugar.
¿Me han engañado? (HIBP) fue creado en 2013 por el experto en seguridad australiano Troy Hunt. Es el hogar de una base de datos de más de cinco mil millones de cuentas de correo electrónico pirateadas (o «pwned») de las muchas filtraciones que se han producido a lo largo de los años. También puede buscar en su base de datos utilizando la herramienta Firefox Monitor de Mozilla, lanzada el mes pasado .
Los correos electrónicos pirateados (gestionados por la empresa de seguridad estadounidense-española 4IQ) y BreachAlarm (gestionados por la empresa australiana Avalanche) son dos alternativas populares. Los tres sitios escanean en busca de nuevas fugas de datos al monitorear sitios en la web oscura y sitios web como Pastebin , donde los piratas informáticos publican detalles de cuentas filtradas. Luego, estos datos se combinan en una única base de datos con capacidad de búsqueda.
Los sitios utilizan métodos similares para verificar si una dirección de correo electrónico fue parte de una violación de datos, simplemente escríbala en el cuadro de la página de inicio y luego presione Entrar. Mientras que HIBP y BreachAlarm muestran resultados instantáneos, Hacked Emails envía un enlace a la dirección de correo electrónico que ingresó, lo que lo restringe a ejecutar escaneos de contraseña solo en direcciones a las que puede acceder.
Según HIBP, nuestro correo electrónico está vinculado con dos brechas que filtraron nuestra contraseña y más
Probamos los sitios usando la misma dirección de correo electrónico que una antigua cuenta de Gmail que ya no usamos. Tanto HIBP como Hacked Emails informaron que formaba parte de las violaciones de Adobe (2013) y Dropbox (2012), aunque el primero fue más allá al especificar el tipo de información que se filtró. HIBP también dijo que la dirección estaba disponible a través del spambot de Onliner en 2017. Ambos también enumeraron varias filtraciones «no verificadas» de fuentes desconocidas.
Por el contrario, BreachAlarm simplemente dijo que nuestra dirección de correo electrónico se ha filtrado «al menos 2 veces», siendo la última en agosto de 2016. Esto fue decepcionantemente vago, pero vale la pena probar BreachAlarm porque utiliza diferentes bases de datos de correos electrónicos filtrados. Entre los tres sitios, probablemente averigüe si su cuenta de correo electrónico ha sido pirateada.
Realice búsquedas de su contraseña
Además de las direcciones de correo electrónico, HIBP le permite comprobar si se ha filtrado su contraseña. Dirígete aquí o haz clic en el menú Contraseñas del sitio principal de HIBP, luego escribe tu contraseña.
No tenemos ninguna duda de que se puede confiar en HIBP, pero buscar su contraseña actual no está exento de riesgos. Aunque es poco probable, los piratas informáticos podrían robarlo si atacan HIBP e instalan malware keylogger.
Por lo tanto, recomendamos no utilizar una contraseña actual. En su lugar, intente realizar búsquedas de sus contraseñas anteriores o simplemente utilícelo para averiguar qué tan comunes son ciertas contraseñas. Por ejemplo, ‘654321’ se ha filtrado casi un millón de veces, mientras que ‘P @ ssw0rd’ casi 50.000 veces.
Si comprueba una contraseña actual y descubre que se ha filtrado, no hay forma de saber si le pertenece a usted oa otra persona (cuanto más simple sea la contraseña, más la habrían utilizado otras personas). Independientemente, debe cambiarlo de inmediato. Si la contraseña se ha visto en línea aunque sea una sola vez, se incluirá en las tablas del arco iris, lo que facilitará su descifrado.
Qué hacer si sus datos han sido filtrados
Si se filtraron sus datos, verifique la fecha de la última infracción. Si aún no ha cambiado su contraseña en el sitio atacado, hágalo de inmediato. Los piratas informáticos saben que las personas a menudo simplemente agregan un carácter adicional cuando cambian su contraseña, así que asegúrese de que sea completamente diferente (no cambie ‘Ilovepasta’ por ‘Ilovepasta1’). Y si ha reutilizado la contraseña robada en otros sitios, cámbiela allí también.
Si obtiene todo claro en estos sitios, no significa que sus datos personales nunca se hayan filtrado. Muchas pequeñas filtraciones de datos no se denuncian, mientras que algunas empresas simplemente no saben que han sido atacadas.
La mejor forma de protegerse es utilizar contraseñas seguras e, idealmente, un administrador de contraseñas. También considere registrarse en el servicio de monitoreo de HIBP, que le enviará un correo electrónico si sus datos aparecen en una nueva filtración. Haga clic en ‘Notificarme’ en la parte superior del sitio web, luego ingrese la dirección de correo electrónico que desea monitorear.