Filtradas 10.000 millones de contraseñas: así puedes saber si la tuya está entre ellas y si debes cambiarla
El equipo de investigadores del medio de información sobre ciberseguridad Cybernews ha descubierto lo que califican como ‘la mayor recopilación de contraseñas de la historia’. Se trata de un archivo llamado Rockyou2024.txt que recoge un total de 9.948.575.739 contraseñas únicas y ha sido publicado en un popular foro de piratería no especificado. El archivo, una recopilación de contraseñas pertenecientes a brechas de seguridad ya conocidas y otras nuevas, supone un peligro especialmente para aquellos usuarios acostumbrados a reutilizarlas. Es decir, la mayoría.
Rockyou2024 fue publicado el 4 de julio por el usuario ObameCare. Este se había registrado en el foro a finales de mayo. Antes de este archivo, había publicado bases de datos de empleados del bufete de abogados Simmons & Simmons, del casino online AskGamblers y de estudiantes del Rowan College en el condado de Burlington en Nueva Jersey.
‘Los actores de amenazas podrían explotar la compilación de contraseñas de Rockyou2024 para realizar ataques de fuerza bruta y obtener acceso no autorizado a varias cuentas en línea utilizadas por personas que emplean contraseñas incluidas en el conjunto de datos’, han explicado los investigadores de Cybernews. Afirman que brechas recientes de seguridad, como las sufridas por el Banco Santander y Ticketmaster, fueron consecuencia de ataques de relleno de credenciales contra un proveedor de servicios en la nube para estas empresas, Snowflake. Una recopilación como Rockyou2024 favorece este tipo de ataques, que pueden llevarse a cabo contra todo tipo de objetivos que no estén preparados para contrarrestarlos, desde servicios online y offline hasta dispositivos IoT y hardware industrial.
Rockyou2024 sucede a otras dos recopilaciones conocidas como Rockyou2009 y Rockyou2021. La de 2009 contenía 32 millones de contraseñas. La de 2021 creció hasta los 8.500 millones y a estas se han añadido otros 1.500 millones de contraseñas nuevas filtradas desde entonces. En total, la lista contiene información proveniente de 4.000 bases de datos robadas a lo largo de dos décadas.
‘Además, combinado con otras bases de datos filtradas en foros y mercados de piratas informáticos, que, por ejemplo, contienen direcciones de correo electrónico de usuarios y otras credenciales, Rockyou2024 puede contribuir a una cascada de violaciones de datos, fraudes financieros y robos de identidad‘, han señalado los investigadores.
Cómo saber si tu contraseña está entre las filtradas
Cybernews ha puesto a disposición de los usuarios una herramienta con la que pueden comprobar si las contraseñas que utilizan están recopiladas en Rockyou2024. En caso afirmativo, es necesario cambiarla en todos los sitios en que se esté utilizando, así como habilitar la autenticación multifactor (MFA, por sus siglas en inglés), siempre que sea posible.