En mayo de 2020 apareció una noticia de la famosa APP de americana de entrega de comida y kit de alimentos donde se habían expuesto 8 millones de contraseñas de usuarios. ¿Qué pasaría si utilizara esta app con mi correo y mi contraseña habitual? Muy fácil, mi contraseña genérica para Gmail, Hotmail, Facebook, DropBox, OneDrive… estaría disponible para todo el mundo.
Aunque esta APP de la que hablo no creo que sea muy utilizada aquí en mí país, muchos de vosotros posiblemente tendréis LinkedIn o Dropbox desde 2012 sin haber cambiado la contraseña. Estas dos aplicaciones, sufrieron también una brecha de seguridad en 2012, donde entre las los se publicaron más de 230 millones de cuentas y contraseñas que son accesibles con un clic por cualquier personas del mundo. (indicar que mi antigua contraseña 123456 es pública en en todos estos listados, al tener cuentas en esas fechas de LinkedIn y Dropbox).
Seguro que conocéis la sonada web Have I Been Pwned donde introduciendo vuestro correo electrónico, podréis en segundos saber si la cuenta fue comprometida en alguna publicación de contraseñas masivas.
Si bajamos en la web, podremos ver en que campañas ha sido el correo expuesto y en que fecha.
La web tiene más opciones, donde te avisa cuando la cuenta que se indica a sido comprometida. Igualmente se puede ver un listado y la información de los sitios web infringidos que se han cargado en Have I Been Pwned (además del hackeo de LinkedIn y Dropbox que os he comentado antes) e incluso una base de datos de contraseñas, donde se puede introducir una contraseña y te dice si existe en algún listado. Además, en este apartado se puede descargar mediante Torrent un listado de contraseñas.
La parte más interesante para los responsables de la seguridad en las empresas se encuentra en el apartado Domain Search. Es posible buscar todas las cuentas comprometidas de una empresa buscándolas por el dominio. Para eso hay que seguir los siguientes pasos:
- Acceder al menú «Domain search», y en el campo «Domain name» poner el dominio del que queremos buscar todas las cuentas. Marcamos que no somos un robot y hacemos clic en el botón «Begin verification».
- En la siguiente pantalla, seleccionar el método de autorización para acceder al dominio. Nos da varias opciones, en mi caso, voy a indicar que me mande un correo de verificación a uno de los correos que indica según mi dominio.
- A continuación, recibiremos un correo electrónico con un código que copiaremos.
- Con el código copiado del paso anterior, lo pegaremos en el lugar indicado y haremos clic en «Verify token».
- Una vez verificado, seleccionamos el formato del archivo que queremos obtener el resultado. En este ejemplo, le daré al botón del Excel.
- Y aquí el resultado: que cuentas del dominio han estado expuestas y en que brecha.
| Breach | |
| juan@javierripoll.es | 2,844 Separate Data Breaches, Cit0day, Collection #1 |
| pepe@javierripoll.es | Nitro |
| alejandro@javierripoll.es | GeekedIn, MDPI |
| javier@javierripoll.es | Anti Public Combo List, Data Enrichment Exposure From PDL Customer, Exploit.In, LinkedIn, You’ve Been Scraped |
| mabel@javierripoll.es | Dropbox |
| carlos@javierripoll.es | 123RF, Animoto, Anti Public Combo List, Last.fm, Nitro, Onliner Spambot |
Seguramente todo esto ya lo sabías, pero lo que realmente impresiona es como en la siguiente página https://ghostproject.fr/1B/, de forma gratuita se puede obtener al menos los tres primeros caracteres de las contraseñas expuestas. Si lo hacéis con vuestras cuentas, tendréis un indicio para saber que contraseña es.
La página de G.P. es la base de datos gratuita más grande de compilación de violaciones de contraseñas, y que además nos permite buscar por correo electrónico y nombre de usuario.
Una vez entremos en la página, en el campo «search email» introduciremos la búsqueda. Como indica en la propia web, se puede poner un correo electrónico, un nombre de usuario o un dominio.
Una vez hagamos clic en «Search», se mostrará el resultado (os muestro el resultado de mi cuenta personal de hotmail):
Y el resultado es asombroso ya que el número de * es la longitud real de mis contraseñas que utilizaba en su día que son : 123456, y 1234567890.
Haciendo una donación en la página, podremos desbloquear estas contraseñas durante un tiempo limitado, según la donación, viendo las contraseñas como a continuación:
Así que: recuerda cambiar tus contraseñas de una forma frecuente y no utilizar la misma contraseña en todos los sitios.
Os recomiendo el siguiente post de mi compañero Antonio Grimaltos, donde os cuenta como podéis crearos un algoritmo para tener una contraseña realmente segura y no repetirla en ningún sitio web.
