Nuevo robo masivo de cuentas: 620 millones de contraseñas a la venta de 16 páginas web hackeadas

Los robos de credenciales no terminan. En los últimos años hemos podido ver cómo los piratas informáticos han robado bases de datos con información personal, como usuarios, contraseñas y correos, entre otros datos, de una gran cantidad de páginas web. A principios de 2019, además, hemos podido conocer Collection #1, una colección de más de 772 millones de contraseñas, 22 millones de contraseñas únicas, que se distribuye por la red, siendo además solo la primera parte de una colección formada por 5 bases de datos similares.

Hace apenas unas horas, el medio The Register daba a conocer una nueva filtración masiva de usuarios, contraseñas, correos y más datos personales, formada por un total de 617 millones de cuentas, que ha aparecido a la venta en la Deep Web.

Según afirma dicho portal, aún no se conocen muchos detalles sobre esta nueva base de datos, pero el pirata informático ya la ha puesto a la venta por un precio total de 20.000 dólares, pagados en Bitcoin. Se calcula que el total de los datos incluidos en esta nueva base de datos puede ser de varios gigabytes, seguramente de más de 60 GB teniendo en cuenta que Collection #1 estaba formada por 772 millones de credenciales y tenía un tamaño aproximado de 87 GB.

Esta nueva base de datos está formada por los datos robados de un total de 16 páginas web que han sido hackeadas entre finales de 2016 y finales de 2018:

  • Dubsmash (162 millones)
  • MyFitnessPal (151 millones)
  • MyHeritage (92 millones)
  • ShareThis (41 millones)
  • HauteLook (28 millones)
  • Animoto (25 millones)
  • EyeEm (22 millones)
  • 8fit (20 millones)
  • Whitepages (18 millones)
  • Fotolog (16 millones)
  • 500px (15 millones)
  • Armor Games (11 millones)
  • BookMate (8 millones)
  • CoffeeMeetsBagel (6 millones)
  • Artsy (1 millón)
  • DataCamp (700,000)

Además de los nombres de usuario, contraseñas y correos electrónicos, algunas de las webs también han filtrado otra información personal, como ubicación de los usuarios y tokens de redes sociales. Lo que parece no haber en esta filtración son datos bancarios, aunque no se descarta que los piratas informáticos los hayan filtrado para venderlos a parte.

Los piratas informáticos, además, ofrecen la posibilidad de comprar las bases de datos por separado.

Los piratas informáticos aseguran tener más de mil millones de credenciales en su poner, aunque el resto son para uso privado

Los 620 millones de contraseñas puestos a la venta no son, ni de lejos, todas las bases de datos que han robado estos piratas informáticos. Según afirman, los ladrones tienen un total de 20 bases de datos listas para poner a la venta en la red, un total de mil millones de credenciales y datos personales de usuarios que han sido robados de diferentes páginas web desde 2012, aunque una parte de todos estos datos se los van a quedar para uso privado.

Aunque las contraseñas están cifradas y para poder usarlas es necesario descifrarlas previamente, las webs hackeadas estaban utilizando técnicas de cifrado y algoritmos inseguros, además de que muchas de ellas son contraseñas inseguras, por lo que cualquiera con unos conocimientos básicos podría descifrarlas todas, o la gran mayoría, sin ninguna dificultad en muy poco tiempo.

Algunas de las bases de datos llevan circulando de forma privada bastante tiempo, aunque no ha sido hasta ahora cuando han empezado a ponerlas a la venta, no solo para ganar dinero, sino también para dar a conocer toda la inseguridad de la red.

Un grito de auxilio: cambiad las contraseñas cuanto antes. Todas.

No se sabe en qué momento aparecerá una nueva base de datos de usuarios y contraseñas mayor, puede ser la semana que viene, el mes que viene… pero lo que es seguro es que llegará. Por ello, es de vital importancia dedicar unas horas cuanto antes a cambiar todas las contraseñas de todas las webs donde estemos registrados para evitar que podamos quedar expuestos ante uno de estos robos de datos.

A la hora de elegir una nueva contraseña es necesario utilizar contraseñas seguras y, además, que sean diferentes, evitando repetir las contraseñas y que, de filtrarse una, todas las demás webs puedan verse comprometidas. Para ayudarnos a recordar estas contraseñas podemos utilizar gestores de contraseñas como KeePass o LastPass, que nos permiten guardar una base de datos segura con todos nuestros credenciales para no tener que preocuparnos de recordar las complejas claves seguras.

Por el momento esta base de datos no se encuentra registrada en páginas como Have I Been Pwned, ya que aún no se ha vendido ni ha sido filtrada. Será cuestión de tiempo que los investigadores de seguridad se hagan con una copia de la base de datos y la registren en estas plataformas para poder comprobar si nuestras cuentas se han visto, o no, expuestas.

Pese a ello, mejor prevenir y aprovechar para cambiar las contraseñas que usemos por otras diferentes y más seguras. También podemos aprovechar para activar los sistemas de doble autenticación cuanto antes para evitar que, aunque tengan nuestra contraseña, puedan acceder a nuestros datos.

¿Utilizas contraseñas seguras y diferentes en todas tus webs y servicios online?