Deberías cambiar todas tus contraseñas ya. Y sin tardar

Posted on Profesional

Sí, ya sé que suena expeditivo, pero es que esta vez es importante cambiar las contraseñas de forma inmediata. Se ha conocido hace unos días que ha habido una filtración monstruosa de contraseñas que se ha convertido en la mayor filtración de la historia. Cerca de 8.500.000.000 (ni sobran ni faltan ceros) de contraseñas que ya se encuentran en la Dark Web en un archivo de texto de unos 100 GB y que está disponible para el mejor postor. El archivo se denomina RockYou2021 y en breve se convertirá en un monstruoso diccionario que servirá para reventar cuentas de usuarios en servicios web y redes sociales.

El procedimiento usado en un ataque de diccionario es muy simple. El atacante dispone de una base de datos de usuarios y otra de contraseñas (si dispone de una base de datos de usuarios y contraseñas asociados, la cosa es aún más fácil). Lo que hace generalmente es coger cada uno de los usuarios y probar en diferentes web a ver si ese usuario con las diferentes combinaciones de contraseñas consigue acceder a la web. Si hay error, descarta al usuario y si pide doble verificación, ya sabe que la combinación de usuario y contraseña es buena, y ahora pasará a usar otros métodos de ataque para intentar reventar la cuenta saltándose la doble verificación, cosa que es posible en determinadas ocasiones.

Aunque es un procedimiento lento, porque hay que probar muchas combinaciones, si se hace de forma distribuida usando una botnet, los resultados obtenidos son sobradamente buenos.

Ahora la clave está en cómo protegernos. Lo primero que hay que hacer es comprobar si nuestras contraseñas están en el archivo RockYou2021. Evidentemente no tendrás que comprar el archivo para hacer la comprobación. Por suerte hay una web que se encarga de hacerlo por ti. Es 100% fiable y además te permite suscribirte al servicio para que de forma regular compruebe en su base de datos si tus contraseñas han sido filtradas. El servicio se denomina Have i Been Pwned y solo tienes que acceder a su web https://haveibeenpwned.com/Passwords para hacer la comprobación. Evidentemente, no deberás poner tu nombre de usuario ni necesitarás registro alguno si solo quieres comprobar si tus contraseñas están en las bases de datos de los malos.

En caso de que tu contraseña esté en la base de datos, deberás cambiar tu contraseña sin más tardar y si tu contraseña no está en la base de datos, cámbiala también por si acaso.

¿Cómo asegurarse de tener contraseñas seguras? De este tema ya te he hablado en otras ocasiones. Debes usar un gestor de contraseñas. Yo siempre recomiendo usar Bitwarden, porque tiene versiones para todos los sistemas operativos y para todos los navegadores, tanto de ordenador como de móvil. Además es software libre y dispone de versión gratuita para uso personal.

En Bitwareden puedes generar contraseñas seguras con 20 caracteres aleatorios o más y almacenarlas de forma segura, compartiéndolas entre todos tus dispositivos. De esta forma, podrás tener una contraseña segura para cada servicio web en el que te registres y que cada vez que accedas a dicho servicio te rellene automáticamente los campos de usuario y contraseña y tú nunca deberás recordar esas contraseñas, ya que Bitwarden lo hará por ti. Eso sí, deberás recordar (o ser capaz de averiguarla) la contraseña de Bitwarden para poder acceder a todas tus contraseñas.

Ya sabes. No esperes más y cambia tus contraseñas, porque te evitará sustos y males mayores, porque la cosa es seria.

Author: fbno

Website | All posts

Sarcástico, irónico y cáustico. Agnóstico, irreverente, apolítico, apátrida y ciertamente asocial. Defensor del abstencionismo reflexivo y amante de la penúltima cerveza y del Rock.