Cómo comprobar si tu contraseña ha sido robada

Es posible que el uso de contraseñas muy complejas y seguras no sea suficiente para proteger el acceso a tus cuentas de Internet.

La mayoría de contraseñas y cuentas de correo electrónico se recuperan tras ataques dirigidos a sitios web y servicios online que utilizamos con frecuencia, aunque estos últimos mantienen las contraseñas de forma cifrada y protegida. Las contraseñas robadas, o mejor dicho, las cuentas en forma de correo electrónico + contraseña son luego vendidas por piratas informáticos en la «Deep Web» o publicadas en los foros como una base de datos descargable en archivos .txt.

Por esta razón, a menudo escuchamos acerca de «violaciones» o «filtraciones» de bases de datos de contraseñas o listas completas de direcciones de correo electrónico que contienen millones de cuentas de personas que a menudo desconocen por completo que sus contraseñas de repente se han vuelto públicas o semipúblicas.

Veremos cómo comprobar si alguna de nuestras contraseñas ha sido robada y si se ha vulnerado la seguridad de una de nuestras cuentas con ataques del tipo descrito anteriormente. Te brindaremos consejos universales y siempre válidos sobre cómo proteger tus contraseñas y cuentas, y qué hacer si descubrimos que se ha violado una contraseña

Cómo comprobar si una cuenta ha sido robada

Podríamos recuperar fácilmente la base de datos de una cuenta nosotros mismos (siempre correo electrónico y contraseña) a través de torrent o navegar por los foros o la web profunda y luego verificar manualmente si nuestra contraseña está presente (como texto plano). En realidad, existe un método mucho más simple y rápido que nos ahorrará descargar gigabytes de archivos de texto solo para buscar nuestro nombre de usuario, incluida la contraseña.

haveibeenpwned es el servicio web que viene en nuestra ayuda y que recopila todas las filtraciones de bases de datos de contraseñas públicas y conocidas y ofrece la posibilidad, una vez que se ingresa una dirección de correo electrónico, para comprender rápidamente si la cuenta ha sido comprometida.

El uso es simple: en el sitio, ingresa la dirección de correo electrónico (utilizada como nombre de usuario) que queremos verificar en el campo «dirección de correo electrónico» y haz clic en el botón «¿pwned?».

Si el resultado presentado es rojo, significa que nuestra cuenta y su contraseña han sido robadas y hemos sido indirectamente (ya que el ataque no fue dirigido directamente a nosotros) víctimas de una «violación de datos».

En cambio, un resultado verde indica que nuestro correo electrónico no está presente en ninguna base de datos obtenida de un ataque a un sitio vulnerable.

El sitio distingue entre «incumplimiento» y «pega». La diferencia entre los dos es la siguiente:

incumplimiento

Significa que las contraseñas y las cuentas fueron realmente robadas en línea y expuestas por un sistema que tenía mecanismos de seguridad deficientes y fue atacado (vea a continuación los servicios y sitios web pirateados más famosos de 2021). Obtener estas contraseñas significa descargar una base de datos de torrents u otros canales de distribución.

pastas

Significa que la información sensible que nos interesa está incluso presente en forma pública en aquellos servicios que comparten texto en línea y por lo tanto de hecho disponible para todos sin ningún esfuerzo; simplemente búscalo en Google o ten el enlace directo al archivo de texto con las contraseñas disponibles en línea.

Es importante entender que incluso si el resultado de la verificación de la contraseña es completamente verde, no es absolutamente seguro que nuestra cuenta no haya sido robada o que no esté disponible en otra forma «privada». Lo que haveibeenpwned ofrece es solo un servicio basado en datos públicos, mientras que un hacker o un grupo pueden decidir mantener esta información privada y revenderla o usarla para otros fines ilegales.

Además de esto, también tienes que saber que el sitio no muestra en absoluto la contraseña en texto, sino que solo nos informa del hecho de que está presente o no en alguna base de datos pública.

Sigue leyendo para comprender cómo podemos prevenir ataques a nuestras contraseñas y qué hacer si descubrimos que hemos sido víctimas de un ataque de tipo indirecto.

Evitar ataques a contraseñas o cuentas

Evitar ataques a contraseñas o cuentas
Evitar ataques a contraseñas o cuentas

No podemos saber qué tan seguro es un sitio o qué tan seguros son los servicios en línea que usamos o hemos usado en el pasado. Sin embargo, existen reglas simples que pueden limitar el daño o evitar totalmente que un atacante descubra una contraseña.

  1. Usamos contraseñas seguras. La regla básica es utilizar contraseñas que no sean demasiado simples o que se deriven de información personal: fecha de nacimiento, nombre, apellido, película favorita o similares. Debemos intentar usar contraseñas aleatorias generadas por procedimientos tanto como sea posible y verificar la seguridad de nuestras contraseñas.
  2. Activemos la autenticación de dos pasos. La mejor manera de proteger una cuenta es utilizar otro mecanismo de autenticación además del clásico que consiste en nombre de usuario (correo electrónico) y contraseña: autenticación en dos pasos (2FA). Implica el uso de un elemento de verificación externo (como un SMS en el teléfono móvil) para iniciar sesión incluso después de ingresar el correo electrónico y la contraseña correspondiente. De esta forma, aunque alguien puedan obtener toda la información sensible, es muy poco probable que también tengan la posibilidad de acceder a nuestro teléfono celular. Es el sistema más seguro en la actualidad y no es casualidad que los bancos en línea y los sistemas de transición de tarjetas de crédito lo hagan obligatorio (aunque para algunos es un procedimiento tedioso).
  3. Diferentes contraseñas para cada sitio o servicio en línea. Otra regla básica a menudo ignorada y subestimada por la mayoría. El hecho de que un sitio haya sido comprometido y nuestra contraseña sea robada también podría no significar nada si se trata de un servicio que no hemos utilizado durante años; ¡el problema es que la misma combinación de nombre de usuario + contraseña es a menudo la misma que se usa para otros sitios mucho más importantes! No debemos arriesgarnos a que después de un ataque, todas las cuentas en nuestro poder también se vean comprometidas porque (debido a la pereza) hemos usado la misma contraseña en todas partes. En este caso nos ayudarán los gestores de contraseñas del siguiente punto.
  4. Elegir un buen administrador de contraseñas. Para ayudarnos en la tarea de generar una contraseña bastante compleja y al mismo tiempo recordar diferentes contraseñas, nos ayudan los sistemas de administración de contraseñas; los más seguros y populares son 1Password (muy recomendable) y LastPass. Tratar estos programas (también disponibles como extensiones de navegador ) requeriría un artículo detallado por derecho propio, pero tienes que saber que nos permiten recibir notificaciones después de que una «violación de datos» (incidente) se haya hecho pública y nos advierte que tomemos medidas cuando nuestra contraseña es robada y está disponible «públicamente».

Sobre el tema de la contraseña y la seguridad podríamos dedicar muchas palabras; en principio, además de los consejos dados anteriormente, siempre es preferible utilizar un buen antivirus y proteger tu conexión vía VP: ambos son sistemas para prevenir ataques «directos» a nuestras máquinas en lugar de ataques «indirectos» (de los que tenemos ampliamente hablado en este artículo).

Qué hacer si te roban una cuenta

Qué hacer si te roban una cuenta
Qué hacer si te roban una cuenta

Una vez que descubrimos que una de nuestras contraseñas o nuestra combinación de nombre de usuario y contraseña ha sido robada y está disponible públicamente, podemos tomar algunas precauciones. Obviamente debemos notar el compromiso a tiempo, por lo que se recomiendan las notificaciones de los administradores de contraseñas. Veamos algunas sugerencias sobre las acciones a realizar:

  1. Cambiemos la contraseña. Lo primero que debemos hacer: una vez que hayamos comprobado que el sitio X ha sufrido un ataque al revelar nuestras credenciales, debemos cambiar inmediatamente la contraseña. Muchos sitios, nos advertirán de los ataques y nos obligarán a restablecer la contraseña. También suele ser útil cambiar el inicio de sesión (generalmente el correo electrónico), si el sitio en cuestión lo permite.
  2. Comprobamos si ya se ha utilizado la combinación de correo electrónico y contraseña. Después de descubrir que el sitio X ha liberado accidentalmente el usuario y la contraseña, debemos comprobar que no se hayan utilizado los mismos en otros sitios. Un atacante podría aprovechar la información del sitio comprometido para atacar el otro sitio intentando la misma combinación de credenciales.
  3. Evitamos el pánico si no podemos acceder a la cuenta robada. Si nos damos cuenta de que nuestra cuenta con contraseña ha sido robada, no debemos entrar en pánico si ya no podemos iniciar sesión. Es posible que el propio sitio bloquee voluntariamente el acceso a una cuenta pirateada y solicite una verificación de la dirección de correo electrónico para restaurarla. También sucede que alguien ha logrado iniciar sesión y cambiar su contraseña; si tenemos el correo electrónico siempre podemos generar una nueva contraseña restableciendo.

¿Cuáles son las filtraciones de datos más famosas actualizadas a 2021?

Cuáles son las filtraciones de datos más famosas actualizadas a 2021
Cuáles son las filtraciones de datos más famosas actualizadas a 2021

Veamos cuáles son los ataques de contraseña llevados a cabo hasta el momento (Agosto de 2021). Te informamos que además de sitios y apps más o menos famosos, también se distribuyen bases de datos de contraseñas reales. Los piratas informáticos utilizan y recopilan estas bases de datos en forma de colecciones de archivos de gigabytes para descargar.

Hasta la fecha, hay casi 11 mil millones de cuentas comprimidas con contraseñas robadas. El último ataque es el que involucró a Facebook en abril de 2021.

Uno de los ataques anteriores involucró hasta 16 sitios web en noviembre de 2018:

Dubsmash (162 millones), MyFitnessPal (151 millones), MyHeritage (92 millones), ShareThis (41 millones), HauteLook (28 millones), Animoto (25 millones), EyeEm (22 millones), 8fit (20 millones), Whitepages ( 18 millones), Fotolog (16 millones), 500px (15 millones), Armor Games (11 millones), BookMate (8 millones), CoffeeMeetsBagel (6 millones), Artsy (1 millón) y DataCamp (más de 700.000).

Ataques a servicios web populares que han sufrido accidentes y expusieron contraseñas:

  • Facebook. En abril de 2021, se lanzó una enorme base de datos de datos de usuarios de Facebook para que todos la descarguen. Las cuentas robadas con todos los datos personales, contraseñas y teléfonos son 533 millones (prácticamente el 20% de los usuarios registrados en Facebook). Para robar datos confidenciales se utilizó una vulnerabilidad que Facebook había corregido en agosto de 2019. Un duro golpe en 2016 para las redes sociales dedicadas al trabajo que llevó a 164 millones de correos electrónicos expuestos con contraseñas en texto. En este caso, el compromiso se hizo público después de varios años.
  • MySpace. Se remonta a 2008 sobre uno de los ataques más impactantes y que involucró a la red social, ahora prácticamente abandonada tras la llegada de Facebook. 360 son los millones de contraseñas robadas y vendidas en el «mercado negro» y luego hechas públicas (en 2016).
  • Disqus. Sistema de comentarios utilizado en WordPress y en muchos sitios. Se trata de un robo de direcciones de correo electrónico, contraseñas y nombres de usuario (unos 17,5 millones) que se dio a conocer después de 5 años.
  • Dropbox. El conocido sistema en la nube fue atacado en 2012 y solo en 2016 se recomendó a los usuarios que cambiaran sus contraseñas. Afortunadamente, la autenticación de dos pasos está disponible hoy.
  • tumblr. Plataforma de blogs; el ataque resultó en 65 millones de cuentas con contraseñas comprometidas.
  • vBulletin. Software PHP para gestionar foros online. En el pasado fue muy utilizado y en 2015 fue víctima de un accidente muy grave que, además de contraseñas, expuso información personal, identidad en redes sociales y direcciones IP.
  • Adobe. Enorme base de datos de contraseñas cifradas (153 millones) con nombres de usuario y direcciones de correo electrónico. En 2013, el coloso sufrió un gran ataque debido a las deficientes protecciones de seguridad.
  • Dailymotion. Plataforma de transmisión de videos para compartir que expuso a más de 85 millones de cuentas de usuario con correos electrónicos y contraseñas en 2016.
  • imgur. La comunidad de intercambio de imágenes en línea que sufrió un ataque en 2013 solo salió a la luz años después (en 2017).
  • VK. Red social rusa; en 2012 sufrió un ataque que provocó la exposición pública de aproximadamente 100 millones de cuentas.

Deja un comentario