Más de 700 millones de direcciones de correo electrónico y más de 1,1 mil millones de pares de contraseña de inicio de sesión han sido filtrados en Internet bajo el nombre de Colección # 1, lo que ha sido considerado como el mayor “hackeo” de la historia.
Troy Hunt, experto en privacidad y seguridad, además de director regional de Microsoft, ha publicado una entrada de blog sobre esta gran base de datos que contiene un importante número de información.
Ante ello, desde Kaspersky han decidido compartir algunas consideraciones sobre las acciones a tomar en caso de haber sido perjudicado por los ciberdelincuentes.
Desde la compañía de ciberseguridad se ha indicado que las fugas y las infracciones ocurren con bastante frecuencia y, a veces, se trata de casos importantes. Los malhechores recopilan la información filtrada y crean bases de datos con nombres de usuario y contraseñas.
“Algunos de ellos intentan agregar información de cada filtración a estas bases de datos y ese esfuerzo resulta en la creación de bases de datos gigantescas como la Colección # 1”.
Se ha explicado que no es sólo una fuga de monstruos como la ocurrida contra Yahoo! con miles de millones de credenciales de usuarios robadas, sino que sería una colección que recopila información de más de dos mil fugas diferentes, algunas que datan del 2008, mientras que otras son más recientes.
“Sorprendentemente, la Colección # 1 no parece incluir inicios de sesión y contraseñas de filtraciones bien conocidas como la filtración de LinkedIn que ocurrió en 2012 y ambas violaciones de Yahoo!”, de acuerdo a la publicación.
Afectados por la Colección # 1
Desde Kaspersky también se ha ofrecido una opción para saber si alguna de sus credenciales personales se encuentra en esta enorme base de datos. El interesado sólo debe escribir la dirección de correo electrónico que tiene asociada sus cuentas y podrá ver si se incluyó en alguna de las bases de datos filtradas de las que tenga constancia la plataforma.
“Si su correo electrónico fue parte de la Colección # 1, habrá una entrada al respecto. Si no está allí, tienes suerte y no tienes nada que hacer al respecto. Pero si está ahí, ahí es donde comienza la parte difícil”.
En caso de ser positiva la filtración, sin duda alguna la víctima tiene que hacer algo. El servicio, según lo publicado, no informará cuál de las cuentas vinculadas a ese correo electrónico fue violada.
No importa si se trataba de una cuenta en un foro de criptomonedas, una cuenta de biblioteca en línea o una cuenta de la comunidad de amantes de los gatos, pues ahora sólo hay dos opciones: si la persona ha usado una contraseña única en múltiples servicios o no.
En el primero de los casos, la víctima tendrá que revisar todas sus cuentas y cambiar las contraseñas para todas y cada una, con la finalidad de garantizar la seguridad de su información.
“No olvides que esas contraseñas tienen que ser largas y únicas. Creo que, como estás acostumbrado a recordar una sóla contraseña, tratar de memorizar un montón de nuevas sería casi imposible, por lo que probablemente sea una buena idea usar un administrador de contraseñas”, se ha recomendado desde Kaspersky.
Si se trata del uso de contraseñas únicas para cuentas asociadas con esta dirección de correo electrónico, entonces será algo más fácil. Por supuesto, la persona además puede cambiar todas sus contraseñas, pero no es necesario hacerlo.
“También puede tratar de encontrar cuál de sus contraseñas fue expuesta usando otra característica de tener un código de acceso llamado Pwned Passwords”.
Allí se podrá escribir una contraseña para una de las cuentas y determinar si se mencionó en la base de datos de contraseñas filtradas, que se ha escrito de nuevo, ya sea en texto sin formato o como un hash.
Si la víctima observa que esta o aquella contraseña ha aparecido en el mensaje de correo electrónico que se ha emitido al menos una vez, será mejor que la cambie. En caso contrario, es seguro, y luego se debe proceder a otra contraseña.
“Por supuesto, hacer eso significa que la confianza se ha hecho aún más fácil, y la mayoría de las personas no tienen ninguna razón para hacerlo. Es por eso que también puede pegar allí un hash SHA-1 de su contraseña y le dará el mismo resultado que pegar la propia contraseña”.
Evitar filtración de datos
Kaspersky además ha publicado una serie de consejos generales sobre cómo mantenerse a salvo y, en lo posible, no afectados por violaciones de datos. Esto lo han hecho en vista de las numerosas fugas en los últimos años y que seguramente sucederán muchas más en el futuro.
“Es por eso que nuevas bases de datos grandes como la Colección # 1 seguirán apareciendo de vez en cuando y los malhechores los usarán con gusto para tratar de ingresar en las cuentas de las personas”.
Una de las principales recomendaciones es utilizar contraseñas largas y únicas para todas y cada una de las cuentas. De esa manera, en caso de que un servicio resulte violado sólo se tendrá que cambiar una contraseña.
También se ha exhortado a habilitar la autenticación de dos factores siempre que sea posible, pues eso impedirá que los hackers ingresen a las cuentas, incluso, si logran obtener el nombre de usuario y contraseña.
Usar un administrador de contraseñas que pueda ayudar a crear muchas contraseñas únicas y seguras, sin necesidad de memorizarlas, sería otro de los consejos.
