El robo y la venta de credenciales de algunos de los servicios más utilizados por usuarios de todo el mundo sigue siendo una de las principales actividades criminales realizadas por los delincuentes.
Así lo demuestran numerosos casos en los últimos años o el más reciente y que vamos a analizar hoy: el robo de 272 millones de credenciales de correos electrónicos pertenecientes a los servicios Mail.ru (57 millones), Yahoo (40 millones), Hotmail (33 millones) y Gmail (24 millones), además de miles de cuentas de proveedores de correo electrónico en Alemania y China.
Millones de credenciales por menos de 1€
El descubrimiento de esta gran base de datos de credenciales de correos electrónicos ha sido posible gracias a la investigación realizada por los expertos de Hold Security. Estos investigadores se encargan de revisar algunos de los foros o sitios de Internet y de la Deep Web en busca de la aparición de nuevos set de credenciales robadas para poder avisar a los proveedores de los servicios comprometidos.
Es así como dieron con un delincuente que afirmaba tener más de 900 millones de credenciales a la venta. Como expertos en seguridad que son, estos investigadores se negaron a pagar dinero a cambio de esta información, a pesar de que la cantidad solicitada era ridícula (50 rublos o menos de 1 euro). A cambio de obtener tal cantidad de información tan solo tuvieron que poner unas cuantas valoraciones positivas a las redes sociales gestionadas por el delincuente.
Sin embargo, en ese primer paquete de datos robados tan solo había un pequeño porcentaje de credenciales nuevas (0,45%) por lo que los investigadores siguieron hablando con el delincuente hasta que obtuvieron otro fichero con más de 1.170 millones de credenciales, que se tradujeron en 272 millones de credenciales únicas, de las cuales 42,5 millones no se habían visto en ninguna filtración anterior.
El valor real de una contraseña
Resulta cuanto menos difícil cuantificar el valor de tal cantidad de datos. Todo depende del uso que se haga de ellos por parte de los delincuentes. Tal vez, uno de los usos más simples es utilizar esas credenciales robadas para enviar millones de correos spam desde cuentas de usuarios reales, algo que puede hacer bajar la guardia a más de una posible víctima.
Sin embargo, este tipo de cuentas tienen especial valor cuando se trata de ataques dirigidos. Si bien es cierto que la mayoría de ellas suelen pertenecer a usuarios que las usan en un entorno personal, también encontramos cuentas corporativas que, bien aprovechadas pueden servir para enviar un email malicioso a un objetivo en concreto que de acceso a los delincuentes a datos de gran valor de una empresa.
Además, no solo debemos pensar en estas credenciales como un método de acceder a millones de cuentas de correo. Por desgracia, muchos usuarios siguen repitiendo credenciales de acceso en múltiples sitios online, sitios en los que podemos almacenar información confidencial y que convierte este tipo de robos de datos sean especialmente peligrosos.
Pensemos por ejemplo que si nos roban la contraseña de nuestra cuenta de Google los delincuentes no solo tendrán acceso a nuestro correo, sino también a todos los servicios de Google que utilicen esa misma cuenta (Calendario, fotos, almacenamiento en Drive, etc.).
Crea contraseñas seguras y cámbialas periódicamente
Precisamente hoy, 5 de mayo, se celebra el Día Mundial de la Contraseña, por lo que es un momento perfecto para recordar una serie de recomendaciones que mejorarán nuestra seguridad a la hora de utilizar contraseñas. Entre estas recomendaciones destacamos la importancia de crear una contraseña para cada servicio online que sea fácil de recordar pero difícil de adivinar, la utilidad de los sistemas de doble factor de autenticación como Google Authenticator o las alternativas existentes a las contraseñas tradicionales.
También podemos usar servicios como Have I been Pwned si queremos asegurarnos que nuestra dirección de correo electrónico no ha aparecido en alguna filtración de datos o brecha de seguridad y, en el caso de aparecer, tomar las medidas descritas anteriormente para asegurarnos que nadie no autorizado pueda hacer un uso indebido de nuestra cuenta.
Conclusión
Cada vez que se descubre una filtración de datos de este tipo se suelen repetir los mismos consejos y, no es por ser cansinos, pero la realidad es que aún siguen habiendo muchos usuarios que, a pesar de escuchar estas recomendaciones una y otra vez, siguen cometiendo fallos a la hora de gestionar correctamente la seguridad de sus contraseñas.
Es hora de que empecemos a concienciarnos de la importancia de contar con una buena política de gestión de contraseñas, ya sea en entornos corporativos como domésticos.