Filtración masiva de contraseñas: riesgos y medidas de protección

Las filtraciones de datos son inevitables en la era digital. Es prácticamente imposible tener cuentas en línea sin perder algunas de tus contraseñas en estos ataques (por eso es tan importante usar autenticación de dos factores o 2FA). Pero una cosa es saber que algunas de tus contraseñas están por ahí en algún lugar, y otra muy distinta es saber que hay miles de millones de nuestras contraseñas reunidas y listas para ser tomadas.

Eso es exactamente lo que sugiere una nueva investigación: Según informa TechRadar, los investigadores dicen haber encontrado un archivo de texto, llamado rockyou2024.txt, que contiene casi 10 mil millones de contraseñas únicas, todas almacenadas en texto plano. Esto significa que cualquiera con acceso podría revisar la lista como si fuera un PDF y descubrir todas y cada una de las contraseñas por sí mismo.

Este no fue un proyecto que ocurrió de la noche a la mañana: Estas contraseñas fueron recopiladas a lo largo del tiempo, de varios ataques y filtraciones en los últimos 20 años. Los atacantes agregaron 1.5 mil millones de estas contraseñas al archivo solo desde 2021 hasta este año. El hecho de que todas sean únicas también significa que no hay repeticiones en la lista. Es difícil imaginar tantas contraseñas.

¿Cuál es el peligro de estas filtraciones de contraseñas?

Aunque ya es bastante malo que cualquiera con la lista pueda buscar fácilmente cualquier contraseña, ahí no es realmente donde radica el peligro. Simplemente tomaría demasiado tiempo buscar contraseñas específicas para intentar usarlas.

Más bien, los malintencionados pueden usar listas como esta para realizar ataques de fuerza bruta y relleno de credenciales. En un ataque de fuerza bruta, los malintencionados prueban una gran cantidad de contraseñas rápidamente para intentar entrar en una cuenta. El relleno de credenciales es similar, pero implica usar credenciales filtradas (como combinaciones conocidas de usuario y contraseña) con otras cuentas, ya que la gente tiende a usar la misma contraseña para múltiples cuentas. (Por favor, no hagas esto).

Los malintencionados no realizan estos ataques manualmente, por supuesto: Usan computadoras, que pueden probar millones de estas contraseñas en un intento de entrar en estas cuentas. Con una base de datos de 10 mil millones de contraseñas únicas, los hackers ciertamente se divertirán realizando ataques de fuerza bruta y relleno de credenciales tanto contra individuos como organizaciones.

Cómo protegerte de esta base de datos de contraseñas

Con suerte, las organizaciones se tomarán el tiempo para reforzar sus defensas contra ataques como estos, pero incluso como individuos, hay bastante que podemos hacer para protegernos.

Primero, puedes usar un verificador de contraseñas filtradas para ver si tus credenciales están disponibles para que los malintencionados las usen, ya sea en esta base de datos o en otro lugar. Si ves que alguna de tus contraseñas ha sido comprometida, cámbiala inmediatamente.

En ese sentido, asegúrate de usar una contraseña fuerte y única para cada una de tus cuentas. En caso de que las credenciales de una cuenta se filtren, los malintencionados no tendrán éxito en el relleno de credenciales, ya que tus otras cuentas no usarán esa contraseña comprometida.

Si una cuenta admite claves de acceso, úsalas en su lugar, ya que las claves de acceso no tienen credenciales que puedan filtrarse. Si no, usa autenticación de dos factores siempre que sea posible. En caso de que los malintencionados conozcan tus credenciales, no podrán entrar en tu cuenta sin acceso a tu dispositivo de confianza, ya sea un teléfono inteligente o una aplicación de autenticación.

Para gestionar todas estas credenciales, usa un gestor de contraseñas. Un buen gestor de contraseñas no solo te ayudará a, bueno, gestionar tus contraseñas, sino que también debería venir con características de seguridad convenientes, como generadores de contraseñas, códigos de 2FA y alertas cuando tus contraseñas se filtren.

Vía | Hackers Now Have Access to 10 Billion Stolen Passwords | Lifehacker