Los piratas informáticos ya tienen acceso a 10.000 millones de contraseñas robadas
Datos filtraciones son una inevitabilidad de la era digital. Es casi impossible tener cuentas en línea sin perder algunas de tus contraseñas en estos ataques (por eso, es importante el 2FA). Pero saber que algunas de tus contraseñas están allí en algún lugar es una cosa diferente de saber que hay miles de millones de nuestras contraseñas recolectadas para el cogido.
Así lo sugieren nuevas investigaciones: según informes de TechRadar, los investigadores afirmaron haber encontrado un archivo de texto, llamado rockyou2024.txt, que contiene casi 10 mil millones de contraseñas únicas, todas almacenadas en texto claro. Esto significa que cualquiera que tenga acceso podría descargar la lista como haría con un PDF y descubrir cada y cada contraseña para sí mismo.
Este no fue un proyecto que sucedió de una noche: estas contraseñas fueron recolectadas a lo largo del tiempo, de diversos ataques y filtraciones durante los últimos 20 años. Los atacantes agregaron 1,5 billón de estas contraseñas al archivo desde el 2021 hasta este año solo. El hecho de que sean todas únicas, también, significa que no hay repetidos en la lista. Es difícil imaginar tantas contraseñas.
¿Qué representa el peligro de estas filtraciones de contraseñas?
Aunque sea malo lo suficiente que alguien con la lista pueda buscar a mano cualquier contraseña bajo el sol, eso no es realmente donde está el peligro. Sería demasiado lento buscar específicas contraseñas a intentar.
En cambio, los malos actores pueden usar listas como esta para realizar ataques de fuerza bruta y ataques de inyección de credenciales. En un ataque de fuerza bruta, los malos actores intentan un gran número de contraseñas rápidamente con el objetivo de romperse en una cuenta. La inyección de credenciales es similar, pero implica usar credenciales conocidas—como combinaciones de usuario/contraseña conocidas—con otras cuentas, ya que las personas suelen usar la misma contraseña para múltiples cuentas. (No hagas esto).
Los malos actores no ejecutan estos ataques a mano, claro está: usan ordenadores, que pueden intentar millones de estas contraseñas en un intento de romperse en estas cuentas. Con un archivo de 10 mil millones de contraseñas únicas, los hackers tendrán un día libre ejecutando ataques de fuerza bruta y ataques de inyección de credenciales contra personas y organizaciones individuales.
Cómo protegerse de esta base de datos de contraseñas
Esperanza que las organizaciones dediquen el tiempo para reforzar sus defensas contra estos tipos de ataques, pero incluso a nivel individual, hay mucho que podemos hacer para protegernos.
Primero, puedes utilizar un revisador de contraseñas filtradas para ver si tus credenciales están disponibles para que los malos actores los utilicen, sea en esta base de datos o en otro lugar. Si ves que algunas de tus contraseñas han sido comprometidas, cambielas inmediatamente.
En ese sentido, asegúrate de usar una contraseña fuerte y única para cada una de tus cuentas. En el caso de que las credenciales de una cuenta se filtran, los malos actores no serán exitosos en la inyección de credenciales, ya que tus otras cuentas no usarán esa contraseña comprometida.
Si una cuenta lo permite, use claves de acceso en su lugar, ya que las claves no tienen credenciales que filtrar. Si no, use la autenticación en dos etapas siempre que sea posible. En el caso de que los malos actores conozcan tus credenciales, no podrán entrar en tu cuenta sin acceso a tu dispositivo confiado, sea un teléfono inteligente o una aplicación de autenticación.
Para administrar todas estas credenciales, use un administrador de contraseñas. No solo te ayudará a gestionar tus contraseñas, debe venir con características convenientes, como generadores de contraseñas, códigos de autenticación y avisos cuando tus contraseñas son filtradas.
