Ciberseguridad

Collection#1, o la filtración de datos más grande de la historia

29/01/19

Supongo que si estás leyendo este post es porque te has enterado de la mayor brecha de seguridad de la historia: Collection#1, en la que se han hecho públicas unas 773 millones de cuentas de correo electrónico con sus respectivas contraseñas (21 millones de contraseñas distintas). Estás viendo bien los números, unas 40 personas usan la misma contraseña que tú.

 

Los expertos ya venían avisando desde hace algún tiempo que esto podía ocurrir, de momento nadie sabe quién está detrás de la filtración de estos datos publicados en MEGA, pero es lo cierto es que esta filtración es el acumulado de varias filtraciones previas.

Cómo comprobar si se han filtrado tus datos

Para comprobarlo disponemos de una web creada por el experto de ciberseguridad Troy Hunt que nos permite saber si nuestra cuenta de correo electrónico ha estado expuesta en algún momento en este tipo de filtraciones. El nombre de esta web es Have I been pwned! Aquí tienes el link para que puedas comprobar si los datos de tu cuenta de correo han sido filtrados.

 

Como se suele decir en casa del herrero cuchillo de palo, en esta imagen podéis comprobar que mi dirección personal de correo electrónico ha estado filtrada en algún momento.

En tres momentos concretamente, incluyendo Collection#1:

Oh no – pwned!

¿Significa eso que mi actual contraseña está en esa lista? Os voy a contestar a la gallega: Pues puede que sí o puede que no. Es decir, es posible que esos datos sean antiguos y no debamos preocuparnos. Recordad que Collection#1 es el acumulado de varias filtraciones previas.

Mi email está en Collection#1 ¿Qué hago ahora?

Como no sabemos si los datos filtrados son los actuales lo primero que te recomiendo: cambia tu contraseña de forma inmediata. Sobre todo en todos las webs que tengan datos personales o financieros (correo, redes sociales, webs de compras tipo eBay, Amazon, etc..), priorizando aquellas que puedan tener datos financieros (como tarjetas de crédito o cuentas bancarias) y especialmente aquellas en las que hayas reutilizado tu contraseña.

 

Lo habitual después de este tipo de data breach donde tu correo está comprometido es que empiecen a llegarte correos sospechosos intentando hacer phishing: correos extraños,  correos no esperados desde personas desconocidas o bien correos de familiares o amigos que contactan contigo de forma inesperada.

 

Y lo que es más: selecciona una contraseña robusta, no pongas tu fecha de nacimiento, ni tu DNI, nombre o composición de tu nombre y apellido con números. Puedes poner algo así como: MeGustaMuchoJugarAlFutbol_11. Es decir, mezcla letras, números y caracteres no alfanuméricos. Cambia tus passwords a menudo, no las reutilices en varios sitios, ya que esto es lo que aprovechan los malos para entrar en tu cuenta de Gmail con la filtración de tus claves en LinkedIn por ejemplo.

 

Y otra recomendación final: utiliza un gestor de passwords como LastPass o OnePassword, estos gestores permiten almacenar todas tus passwords de forma segura en todos tus dispositivos, generando passwords complejas y además te notifican en caso de que alguna de tus passwords haya sido comprometida. El acceso a este gestor es con una única contraseña que está encriptada múltiples veces y es virtualmente imposible de hackear.

 

¿Cómo me puedo proteger aún más?

Si tienes una cuenta de Gmail puedes activar la autenticación en 2 pasos (2FA), de forma que aunque te “hayan robado” tu contraseña no sea posible logarse en tu cuenta de correo electrónico si el cracker (hacker malo) no tiene tu teléfono móvil en la mano.

 

La verificación en 2 pasos funciona de la siguiente forma: cuando te intentas logar al correo desde un dispositivo/navegador que no está previamente reconocido te saldrá en el navegador esto:

Al mismo tiempo te llegará un mensaje de Google al número de teléfono que tengas asociado para confirmar si eres tú la persona que está intentando acceder a la cuenta de correo:

Con lo que si te llega este mensaje de tipo push al móvil y no has sido tú la persona que ha intentado entrar al correo alguien tiene tus credenciales actuales 🙁

 

En el caso de Google se puede parametrizar el tipo de avisos y restringir el acceso a tu cuenta de correo desde terminales/navegadores previamente autorizados:

Y se pueden ampliar las formas de proteger tu cuenta de correo en el caso de haber sido suplantado para conseguir recuperar tu cuenta en el caso de haber sido robada:

Protegiendo a tu empresa

Es muy importante que entiendas que nunca, nunca, nunca debes usar tu cuenta de correo corporativa para registrarte en webs de terceros a menos que sea estrictamente necesario. En el caso de que tu cuenta de correo esté comprometida pondrías en riesgo a la empresa para la que trabajas y perjudicarías a la reputación de tu empresa.

 

Ya sabéis amig@s seguid estas pautas: cambiad vuestra contraseña a una robusta, no la reutilicéis y cambiadla a menudo y finalmente protegeos de imprevistos con la verificación en 2 pasos.  Hasta el próximo post!

Joan Rodríguez

 

Santander Global Tech

 

 

Otros posts