Luego de que a mediados de enero saliera a la luz que cerca de 773 millones de direcciones de correo únicas y más de 20 millones de contraseñas habían sido filtradas como parte de un paquete denominado Collection#1 a través de MEGA y distintos foros, a fines de la semana pasada se conoció que se filtraron cuatro carpetas más que forman parte de la misma recopilación de nombres de usuario, direcciones y contraseñas (entre otros) que en total pesan 993.36GB.
A tiempo con estas noticias, Google lanzó una nueva extensión para Chrome llamada Password Checkup, que advierte a los usuarios del navegador cuando las credenciales de acceso que utilizó al ingresar a un sitio fueron expuestas en alguna brecha de seguridad previa.
¿Cómo funciona? La herramienta compara las credenciales que ingresa el usuario con una base de datos con más de 4 mil millones de credenciales que han sido robadas en brechas de datos que ocurrieron con anterioridad.
La extensión fue desarrollada junto a expertos en criptografía de la universidad de Stanford para asegurarse de que Google nunca aprenderá el nombre de usuario o contraseña del usuario.
Esta utilidad que lanzó Google en su intento por contribuir a la seguridad de sus usuarios se suma a otras acciones, como la funcionalidad de gestor de contraseñas que sugiere propuestas de contraseñas únicas y fuertes.
Para los usuarios de otros navegadores, como por ejemplo Firefox, existen alternativas parecidas para alertar a los usuarios cuando visitan un sitio que recientemente experimentó una brecha de datos, como Firefox Monitor. Esta herramienta utiliza la base de datos del popular sitio Have I Been Pwned, el cual cuenta con más de 6.400 millones de cuentas filtradas; entre ellas las que forman pate de la lista Collection #1, que se conoció hace apenas un par de semanas atrás.
Otra alternativa similar y que también cuenta con una extensión para Chrome es la que lanzó el año pasado HackNotice, la cual informa al usuario cuando sus datos se filtraron en una brecha.
Por último, un servicio útil y que mencionamos recientemente junto a la noticia de la filtración de los 2.200 millones de direcciones de correo y contraseñas es Identity Leak Checker, del instituto alemán Hasso Plattner, el cual cuenta con una amplia y detallada base de datos de información personal filtrada en distintas brechas y que permite a los usuarios colocar su dirección de correo para recibir a través del correo un informe detallado de los datos filtrados asociados a dicha dirección.
Esta recopilación ha estado circulando en sitios clandestinos, donde a través de torrents se ofrece la posibilidad de obtener esta larga lista de credenciales. Según explicó Rouland a Wired, en su caso, según el archivo que el obtuvo para descargar la lista, cerca de 130 equipos ya tenían la lista en su poder y estaban funcionando como “seed” para que otros más puedan tener acceso a la colección. Un atacante con esta lista en su poder puede llevar adelante un ataque de credential stuffing, como le sucedió recientemente a Dailymotion.
Por eso es que los usuarios deben corroborar si la contraseña que utilizan fue filtrada en una brecha. Para esto, además de verificar en Have I Been Pwned y en Identity Leak Checker, también puedes probar en HackNotice. El paso siguiente es actualizar tus claves y elegir contraseñas nuevas y más seguras para cada servicio que utilices, dejando de esta manera de reutilizar la misma contraseña en más de un servicio. Por último, recomendamos activar el doble factor de autenticación en todos los servicios que ofrezcan esta posibilidad. Al hacerlo, estamos añadiendo una capa más de seguridad a nuestras cuentas.