Cómo saber si la contraseña que utilizó fue filtrada en una brecha

A mediados de enero, el investigador Troy Hunt reveló que en el servicio de almacenamiento en la nube MEGA y también en foros de hacking circulaba una lista, llamada Collection#1, que contenía el filtro de contraseñas más grande hasta el momento organizado en una lista compuesta por más de 700 millones. direcciones y más de 20 millones de contraseñas.

Enterados de esto, es normal que muchos de nosotros nos entrauntos ante la interrogante de si nuestra dirección de correo y/o contraseñamos que utilizamos para acceder a nuestras cuentas formadas parte de esta o de alguna otra filtración o brecha. Saber si nuestras credenciales fueron filtradas o no, también nos dará una pauta acerca de si las contraseñas que estamos eligiendo a la hora de registrarnos en un nuevo servicio o cambiarla, son lo suficiente seguras y/u originales. Por eso, ante estas preguntas y con la excusa de resumirnos la propuesta del sitio Gizmodo con su iniciativa de celebrar todos los 1 de febrero el “Día de cambiar tu contraseña”, y a continuación te decimos cómo saber si tu dirección of correo or contraseña se filtró alguna vez y comprador si las contraseñas que elijes son seguras o no.

El primero que usamos es el servicio Have I Been Pwned, el cual es lederado por la misma persona que dio a conocer la filtración masiva que mencionamos al principio de este post. este es un servicio nos permite verificar si nuestra dirección de correo electrónico fue filtrada alguna vez en las distintas listas que circulan con datos de correo y claves. Además, su base de datos está actualizada e incluye las direcciones y contraseñas que fueron filtradas recientemente.

Al ingresar al sitio podemos ver que cuentan con una base de datos de 6.000 millones de cuentas que han sido filtradas un par de veces. Una vez aquí, procedemos a ingresar a nuestra cuenta de correo electrónico para verificar si estamos en alguna de estas listas.

En este caso verificamos que, lamentablemente, la dirección ingresada fue efectivamente filtrada en alguna oportunidad. Si descendemos podemos ver que nos indica en que servicios ocurrieron las filtraciones.

Como puedes ver en la imagen, encontramos la información ordenada por fechas y sitios que fueron víctimas de filtrado de nuestra información, por ejemplo, hay casos emblemáticos como los que sufrieron en LinkedIn y Taringa; así como también differenti listas que regularmente vuelven a circular con información regoda de varios sitios.

¿Qué hacemos entonces con esta información? De más está diciendo la importancia que tiene cambiar las claves en los sitios menciones, pero como además muy común que usos las mas mas credenciales para más de un sitio o servicio, nos vereros en la necesidad de cambiar la clave filterada en todos los sitios donde la utilizamos, ya que una vez que nuestra clave está en manos de un tercero, nunca sabremos en cuantos sitios probaran entrar con la misma.

A la tiempo para elegir una nueva contraseña recomendamos otra herramienta muy útil que está dentro del mismo sitio.

En este caso, la información que nos devolverá la página es muchas veces utilizada (y por supuesto, filtrada) una clave.

Probando algunas de las contraseñas que suelin figurar en los rankings de claves más utilizadas, por más que cueste creerlo, encontramos los siguientes ejemplos:

Como podemos notar, si probamos una contraseña completamente aleatoria, tenemos grandes posibilidades de que no esté relacionado con alguna de las fugas de información, es decir que probablemente no se ha utilizado o no será descifrada. Esto nos da un buen parámetro de que será una clave segura, o al menos difícil de que este en posesión de terceros.

Algo importante a tener en cuenta a la hora elegir una contraseña segura, no solo será la de verificar que no esté en alguna base de datos de filtraciones, sino recordar algunas buenas practicas a la hora elegirla.

• Usar caracteres alfanuméricos
• Usar caracteres especiales
• Que tenga por lo menos 8 caracteres de longitud (más de 10 nos dar mayor seguridad aun ante cualquier ataque por fuerza bruta)
• Además, debería considerar utilizar un segundo factor de autenticación, ya que nos proporcionará una capa adicional de seguridad sobre la contraseña elegida.

Pero lo más importante es que nos sea fácil de recordar, ya que si buscamos “la contraseña” acabamos escribiéndola en un papel, o peor aún, pegándola en el pie del monitor, o situaciones similares que se nos han pasado. found , todo lo seguridad que hayamos empleado quedará en la nada misma.

En el caso de aquellos usuarios que utilizan un gestor de contraseñas como KeePass, que nos permite generar combinaciones más seguras y almacenarlas encriptadas en el propio gestor, existe la posibilidad de comparar todas las claves que tenemos almacenadas allí contra las bases de datos de Have I. Been Pwned, gracias a una herramienta publicada en GitHub.

Esta es la aplicación kdbxpasswordpwned, que nos permite comparar automáticamente todas las claves que tenemos en nuestro KeyPass gestor contra la base del filtro.

SI bien la aplicación puede que esté dirigida a un usuario con mayores conocimientos técnicos, con el siguiente paso a paso intentaremos que sea lo más sencillo posible utilizarla.

Primero, procedemos a instalar la aplicación con la siguiente línea de comando en nuestro sistema con Python:

$ pip instalar kdbxpasswordpwned

Una vez instalado, debemos ir a la carpeta donde guardamos nuestro archivo.kdbx (formato de archivo de gestión de contraseñas de KeyPass) y ejecutar el siguiente comando:

Kdbxpasswordpwned passkeys.kdbx

Como podemos apreciar, nos va a pedir la clave de nuestro archivo grabado, para luego comparar cada una de las contraseñas que tenemos alojadas en el gestor. En este ejemplo, podemos observar que se encontraron dos claves de ejemplo que tenemos guardadas, con lo que nuevamente nos da la pauta de que se tratara de claves reales debiero cambiarlas inmediatamente en los servicios que las utilizamos.

Como ultimo consejo de este post, porque nunca está de más observar que do los ciberdelincuentes con la información que obtienen, estemos atentos recibir correos eléctricos donde nos quieronsorsionar por el hecho tener nuestras claves, ya que desde el Laboratorio ESET vemos que siguen actualmente valid sextorsion campañas falsas donde nos envían un mensaje con nuestra clave en el correo (en el título o en las primeras líneas del cuerpo) y nos exigen un pago a cambio.

Recuerde cambiar periódicamente sus claves de acceso, por más que los servicios y aplicaciones no los obliguen, utilice el segundo de autenticación en los servicios que los permitan y esta manera mantendremos más segura nuestra información personal y el acceso indebido a la misma.

Usted también podría estar interesado en: