Un hacker ofrece una supuesta lista de casi 10 mil millones de contraseñas a la venta: ¿debería preocuparse? | tecnología

A principios de mes salió a la venta una lista de casi 10 mil millones de contraseñas supuestamente filtradas de varios servicios de Internet. Según informaron investigadores del sitio web estadounidense Cybernews. Esta sería la mayor tanda de contraseñas robadas de la historia.

El archivo llevaba por nombre RockYou2024, y según la página especializada en ciberseguridad, Incluye exactamente 9.948.575.739 contraseñas en texto plano, es decir, sin cifrar.

El medio también informó que la compilación parece contener contraseñas recopiladas de 4.000 bases de datos durante dos décadas.

Además de este factor, los expertos cuestionan las posibilidades de esta lista por los siguientes motivos:

• De hecho, los registros parecen ser, en su mayor parte, no contraseñas, sino palabras tomadas de sitios como Wikipedia;
• Se supone que RockYou2024 solo recopila contraseñas, sin que estén vinculadas a correos electrónicos o nombres de usuario, lo que dificulta la piratería de cuentas;
• Es posible que algunas de las contraseñas ya filtradas se hayan dañado, es decir, que no se muestren correctamente, lo que hace que estos registros sean inutilizables.

⚠️ Pero, ¿significa esto que no hay motivo para preocuparse? No es exactamente así. Los delincuentes pueden utilizar listas de contraseñas como RockYou2024 para llevar a cabo los llamados «ataques de fuerza bruta».

«En un ataque de fuerza bruta, tienes una lista de contraseñas conocidas, vas a un sitio web e intentas usar la lista completa para iniciar sesión en una cuenta. Se prueban diferentes combinaciones con la esperanza de que la víctima use una de ellas». Explicado al ingeniero de investigación senior de g1 Tenable, Satnam Narang.

Obtenga más información a continuación sobre RockYou2024, los peligros de las listas de contraseñas y cómo protegerse.

RockYou es una referencia a la antigua empresa de servicios en línea que sufrió una filtración de datos en 2009. En ese momento, 32 millones de cuentas quedaron expuestas después de que sus contraseñas se almacenaran sin cifrar.

Desde entonces, otras listas de contraseñas se han aprovechado de este nombre y han comenzado a difundirse por Internet. RockYou2024 es la última actualización lanzada el 4 de julio.

¿Qué hay en RockYou2024?

La lista fue anunciada como un archivo de texto que contiene miles de millones de contraseñas, sin hacer referencia a otro tipo de datos, como correos electrónicos y nombres de usuario, que a menudo se citan para aumentar el interés en este tipo de material.

En RockYou2021, el grupo no incluyó nombres de usuario, pero se topó con un problema mayor: la mayoría de las supuestas contraseñas no eran credenciales filtradas.Pero las palabras están tomadas de Wikipedia y del Proyecto Gutenberg, un sitio web que digitaliza obras literarias.

Esta información fue revelada en su momento por Troy Hunt, fundador del sitio web “Have I Been Pwned”, que monitorea las fugas de datos. Respecto a la nueva versión de RockYou, afirmó que no hay motivo de preocupación.

«Estas no son contraseñas pirateadas, son sólo cadenas de texto recopiladas de todo tipo de fuentes diferentes», dijo Hunt en X a principios de julio.

En su análisis de 2021, Hunt también lo dijo Ni siquiera hay 8.400 millones de contraseñas únicas para explorar Al considerar el número aproximado de usuarios de Internet, las contraseñas repetidas en varios servicios y muchos sistemas no han estado expuestas a violaciones.

Hay otro punto al que prestar atención: Es posible que partes del archivo obtenido de las filtraciones ya hayan sido modificadas y ya no se muestren correctamente..

Según Wellington Silva, ingeniero de sistemas de gestión de redes de Palo Alto, «las contraseñas a menudo vienen en un formato corrupto, a veces debido a caracteres especiales eliminados o contraseñas muy largas».

Sin embargo, algunas contraseñas pueden ser explotadas. Algunos de ellos acaban «rotos», es decir, sin el formato adecuado.. Según Wellington, esto sucede “porque no fue posible filtrar la estructura completa de la contraseña, a veces mediante el procedimiento utilizado para extraer esta información”.

¿Qué son las listas de contraseñas?

Este tipo de material se utiliza en «ataques de diccionario» o «ataques de fuerza bruta».que son métodos menos sofisticados mediante los cuales los piratas informáticos buscan invadir cuentas mediante prueba y error, combinando el correo electrónico o el nombre de usuario con contraseñas existentes.

Esta tecnología no es adecuada para servicios en línea populares, que tienden a limitar los inicios de sesión después de un cierto número de intentos de acceso no válidos. pero Puede resultar útil para sitios más pequeños donde no hay tanta seguridad..

«La fuerza bruta significa que lo intentas todo, usas todo lo que puedes para intentar derribar la puerta. Así que sigues intentándolo y intentándolo hasta que algo funciona», dijo Narang de Tenable.

Después de descubrir la información de inicio de sesión y contraseña de un servicio menos conocido, los ciberdelincuentes pueden probar la combinación en plataformas más grandes, como redes sociales y correos electrónicos, con la esperanza de que su propietario haya utilizado la contraseña en más de un lugar.

«Intentarán utilizar estos datos en otro sitio web. Esto es más fácil que intentar un ataque de fuerza bruta, en el que se prueban todas las combinaciones de contraseñas», dijo Narang.

No hay forma de evitar la divulgación injustificada de su información con 100% de certeza, afirmó Fabio Assolini, Director del Equipo de Análisis e Investigación Global en América Latina de Kaspersky.

«Es imposible evitar la filtración de datos», afirmó. «Hoy en día, el usuario debe comprender que ya no se trata de si se filtrarán datos, sino de cuándo. Es inevitable. A partir de ahora, es necesario adoptar hábitos para limitar los daños causados ​​por esta filtración».

Para aumentar su seguridad en línea, los expertos consultados por g1 sugieren las siguientes medidas.

1. Utilice diferentes contraseñasSin repetirlo en varios servicios;
2. Para recordarlos a todos, Adopte un administrador de contraseñas – Algunos de ellos te avisan si aparecen en filtraciones de datos. (Obtenga más información al respecto);
3. Habilitar la gestión en dos pasosque requiere un segundo factor de autenticación además de su contraseña para acceder a sus cuentas (Vea cómo habilitarlo en las aplicaciones principales);
4. Monitoriza tus datos A través de sitios como Have I Been Pwned, que te indica si han aparecido en alguna filtración;
5. Proporcionar datos ficticios en los casos en que no sea necesario. -Un sitio de juegos online no siempre necesita tu dirección, por ejemplo.