Hoy dejo el tema de los blogs un poquito a parte para hablarte de algo bastante relevante.
Tal vez leyeras la semana pasada que se había producido el mayor hackeo de datos de la historia, exponiendo más de 770 millones de direcciones email.
Ahí es nada…
¿Qué significa esto exáctamente?
No es que tengan tu email y su contraseña, así grosso modo.
Es que hay un macro listado de correos electrónicos y passwords usados en diversos servidores concretos, y como a menudo por no complicarnos mucho la vida utilizamos el mismo password para distintos sitios, pues al final puede ser un problema.
¿Es algo nuevo?
Nop, tienen datos recopilados desde 2008, vamos que hay gente que ya tenía esos datos de anteriores hackeos pero ahora han hecho un recopilatorio.
Y claro, en un alarde de altruismo, a algún hacker se le ocurrió compartirlo a través de MEGA y aunque MEGA ya lo ha retirado, hubo gente que se lo descargó…
Que claramente es el menor de los problemas ya que esos datos no son nuevos y llevan tiempo rulando por la Darkweb, pero a la prensa le mola generar histeria…
¿Qué riesgos tiene este filtrado?
Lógicamente si esas contraseñas sigues utilizándolas (aunque sea en una web distinta de la que fueron robados) puede que en un momento dado, alguien lance un ciberataque de relleno de credenciales (vamos, un programa que trate de loguearse en los sitios más importantes o relevantes) con tus datos y los de otros miles, a ver si puede.
¿Cómo se puede saber si tus datos están comprometidos?
Hay varias webs que te ayudarán a saberlo, una de las más usadas es: haveibeenpwned
Sencillamente se introduce el email y se cruzan los dedos.
A mí, me da este resultado:
Oh no — pwned!
Pwned on 11 breached sites
Y si hago scroll hacia abajo, veo los lugares que fueron violados en su momento y cuándo sucedió, y también nombres de listados que se han detectado hasta la fecha con mi correo entre el mogollón.
Lo más seguro es que aparezcas en varios listados ya que como te decía los primeros ataques fueron de 2008, pero que no cunda el pánico, también es probable que si en su momento te enteraste de que esa plataforma fue hackeada cambiases la contraseña, bien porque lo leyeses o bien porque la misma plataforma te lo comunicase.
El mío, por ejemplo, fue descubierto en el hackeo a LinkedIn (y lo cambié), en el de Dropbox (y también lo cambié) y así con casi todos.
¿Qué puedes hacer si estás en uno de esos listados?
Básicamente si no recuerdas haber cambiado la contraseña después de que se conociesen las brechas de seguridad, deberías ir a cambiarla ipso-facto.
Y hacer un ejercicio de memoria por si puedes haber utilizado la misma contraseña en otro lugar, en ese caso, cámbiala también.
Porque como te digo, el problema no es que tengan tu password de LinkedIn ¿qué van a hacer? ¿insultar a tus compañeros de trabajo? ¿Cambiar tu currículum con nocturnidad y alevosía?
El problema es que esa contraseña la estés utilizando igualmente en sitios más importantes.
Una última anécdota
Hace tres semanas, recibí un email un intento de scam muy curioso, la lástima es que lo borré, pero más o menos venía a ser así:
El asunto del email era: Hola (correo electrónico) tengo tu contraseña (y escribía una de mis contraseñas clásicas)
Y el texto del email me decía que era un hacker, que había conseguido averiguar mis contraseñas, que como muestra me daba ésta.
(que efectivamente, durante mucho tiempo la utilicé en varios sitios, de hecho en sitios a los que no les daba mucha importancia, digamos que es considerablemente frágil pero sencilla de recordar).
Después pasaba a decir que había accedido a mi equipo, a mi cámara web y que tenía imágenes comprometidas contra mí.
He de decir, que el que lo redactó pensaba que yo era un tío… ejem…
Y claro, por supuesto, pedía una transferencia de bitcoins para evitar que las susodichas imágenes les llegasen a todos mis contactos.
Juas juas. XD
Siendo sincera al principio me dejó un poco pillada, porque claro es una contraseña que se que es mía, pero en cuanto vi lo del acceso a mi equipo… s’acabó.
No obstante, sí que esto ha servido para una cosa positiva, en los pocos sitios donde conservo esa contraseña y sigo usándola, voy a actualizarla.
Es una de estas tonterías que vas posponiendo por vagancia y que no debería hacer.
Conclusiones
Evita utilizar la misma contraseña en varios sitios.
Comprueba si apareces en los listados de hackeos y si es así cambia esas contraseñas ‘right now’.
Si no te ves capaz de recordar todas las contraseñas, hazte un listado en una libretita, un excel (que no esté en la nube, por supuesto) o utiliza un gestor de contraseñas.
¿Has comprobado ya si estás en la lista?
