Un usuario de un popular foro de hackers ha publicado más de 8.400 millones de contraseñas. La recopilación, que se llama ‘RockYou2021’, proviene de otras filtraciones y brechas de seguridad.
Bautizada como RockYou2021, esta se consideraría la mayor colección de contraseñas filtradas jamás realizada, y por bastante diferencia. Y es que incluso supera a COMB (en inglés, Compilation of Many Breaches), la colección más importante que antes ostentaba el récord con una cifra mucho menor de 3.200 millones de contraseñas.
Según CyberNews, web que ha destapado dicha recolección, todas estas contraseñas están recopiladas en un archivo .txt, como los de Bloc de Notas de Windows, que ocupa 100 GB. Y sí, incluye las contraseñas de COMB, que ahora pasan a formar parte de RockYou2021. Todas estas contraseñas están escritas sin espacios y tienen entre 6 y 20 caracteres.
Para que nos hagamos una idea de la gravedad del asunto, CyberNews detalla que la estimación de usuarios que están en línea en Internet es de 4.700 millones. Si nos basamos en números, CyberNews asegura que potencialmente RockYou2021 incluye las contraseñas «de toda la población mundial en línea casi dos veces».
Y no, no se han añadido a RockYou2021 datos sensibles como correos electrónicos o números de teléfono. De hecho, una buena parte de estas contraseñas son genéricas o muy sencillas de averiguar. Sin embargo, la magnitud de esta filtración podría servir para realizar ataques Spraying Password.
La idea de estos ataques se basa precisamente en estas contraseñas simples; en vez de atacar a una cuenta mediante una contraseña, los atacantes intentan acceder a múltiples cuentas con estas contraseñas, las más usadas. El atacante tan solo tendría que buscar las contraseñas más comunes e ir probando con un número determinado de cuentas.
Y dado que se está introduciendo una contraseña directa, los sistemas de verificación más comunes (salvo la verificación en dos pasos, por ejemplo) no piden datos adicionales, por lo que la entrada a la cuenta se hace de forma limpia, sin que salten las alarmas. Con una cantidad tal de contraseñas filtradas, es lógico pensar que este es un caramelo de información para los atacantes que usen estas técnicas.
¿Qué puedo hacer?
Ante la duda, nuestra recomendación es que modifique sus contraseñas de forma periódica y que utilice caracteres especiales. También es importante no utilizar la misma contraseña para distintos servicios.
Finalmente, resulta muy recomendable activar la verificación en dos pasos, un sistema que exige no sólo el uso de una contraseña fija, sino también utilizar el teléfono o correo electrónico para introducir otra clave que dura sólo unos pocos minutos.
Fuente: El Español