Es una de las noticias del día: a Mark Zuckerberg le han "hackeado" su cuenta de Twitter y su cuenta de Pinterest. No es la única persona en haber sufrido un ataque así en los últimos días, y las cuentas de los famosos parecen haber sido los objetivos favoritos de los atacantes (varios ejemplos más aquí). ¿La principal causa? Aunque todavía está por confirmar, todo apunta a que está relacionado con las recientes filtraciones de contraseñas de diversos servicios... después de ataques que se llevaron a cabo en 2012 y 2013.
En concreto, a mediados de mayo aparecía a la venta en Internet una lista con más de 117 millones de usuarios de LinkedIn, todos ellos con su respectivo correo electrónico y su contraseña. Aunque la información surgía en pleno 2016, todo parece indicar que se trata de los datos robados a LinkedIn en 2012. Si por aquella época eras usuario de esta red social, entonces es muy probable que tus datos estén en la lista.
¿Por qué ahora? Ésa es la pregunta del millón. En 2012, después del ataque, se creía que tan sólo 6 millones de contraseñas se habían filtrado, sin más información. La filtración actual muestra que, como algunos alertaban, aquello tan sólo fue un fragmento y, de hecho, aporta más información, como los correos asociados a cada contraseña. Con todos los hash de las contraseñas (SHA1 sin saltear) en la mano, no está siendo muy difícil para los expertos el "crackearlas" para obtener la contraseña real.
Tras la filtración del mes pasado, LinkedIN consiguió una copia de la lista de contraseñas (no especifican cómo) y reseteó las claves de todos los usuarios afectados. El problema es que para muchos ya era tarde: no sólo porque el ataque se realizó en 2012 y han pasado años desde entonces (en los que se desconoce quién ha tenido acceso a la información), sino también porque todavía hoy mucha gente reutiliza la misma contraseña para varios servicios y no la ha cambiado desde 2012. Por eso muchas cuentas (y parece que la de Zuckerberg incluidas) se están viendo comprometidas ahora.
Tumblr y Myspace, también filtradas
La pesadilla para los usuarios no termina ahí: a finales de mayo era Tumblr el que pasaba a acaparar todos los titulares después de que alguien dijera tener en su poder más de 65 millones de cuentas del servicio con su respectivo hash de la contraseña. En este caso, Tumblr asegura que la información se obtuvo en un ataque de principios de 2013 y también ellos han reseteado las claves de los afectados.
El caso de MySpace es algo diferente aunque comparte similitudes con los dos anteriores. Como ocurrió en ellos, se trata de información robada (se cree que en 2008) que ahora se ha hecho pública. En total hay más de 359 millones de cuentas afectadas, pero tan sólo tienen el hash de los diez primeros caracteres de cada contraseña, que además están convertidos a minúscula.
Paradójicamente, los datos de LinkedIN, Tumblr y MySpace aparecían a la venta en el mismo lugar y por parte del mismo usuario, de nombre peaceofmind. Se desconoce si éste es el atacante original que se hizo con ellos o si simplemente los está distribuyendo ahora después de haberlos conseguido a través de otras fuentes. Y, lo que es peor, nos deja otra pregunta: ¿hay todavía más filtraciones pendientes de salir a la venta?
A la lista se sumaba esta misma madrugada VK.com, la red social más popular de Rusia. Aunque la página no ha confirmado el ataque, desde Leaked Source aseguran que hay más de 100 millones de perfiles afectados. De todos ellos se ha filtrado su email, otros datos personales (teléfono, dirección, etc.) y las contraseñas en texto plano, no hasheadas.
¿Qué está pasando con Team Viewer?
Si hasta ahora hemos hablado de redes sociales que han visto su información comprometida, ¿qué tiene que ver en todo esto Team Viewer? Para quien no lo conozca, se trata de un software muy popular que facilita el control remoto de ordenadores. Sin embargo, durante los últimos días ha habido numerosas quejas de usuarios que aseguran haber sido "hackeados" a través de él. Algunos de ellos dicen incluso que alguien ha vaciado sus cuentas del banco.
Desde Team Viewer negaron que los datos de identificación de sus usuarios se hubieran visto comprometidos y que los atacantes están entrando en las cuentas utilizando información obtenida de las filtraciones que acabamos de utilizar, aunque reconocen que el número de afectados es "significativo". A pesar de ello, algunos usuarios insisten en que su contraseña no era la misma en ambos sitios y que aún así alguien ha entrado a su cuenta de Team Viewer. Por ahora, no está claro qué ha podido pasar.
Creo que no hace falta profundizar en el potencial daño que una persona puede hacer con el acceso a través de Team Viewer a un equipo. Básicamente, se encuentran con las puertas abiertas para entrar a cualquier sitio en el que el navegador, por ejemplo, haya sido configurado para almacenar contraseñas (además de extraer esas mismas claves). Los afectados denuncian que los atacantes han hecho transferencias de Paypal y han comprado tarjetas regalo en varias tiendas, por ejemplo.
Cómo saber si estás en la lista y qué hacer al respecto
¿Están tus datos en las filtraciones? La forma más rápida de saberlo es utilizar Have I been pwned. Troy Hunt, experto en ciberseguridad, lleva años recopilando filtraciones y volcando los emails afectados a su sitio web. Si introduces tu correo, la página te dirá si éste se encuentra en alguna de las listas que han ido apareciendo. Incluso puedes crear alertas para que te notifiquen si alguna vez. Os recomiendo, además, este artículo donde explica cómo verifica que las filtraciones que le llegan son reales.
¿Qué hacer si apareces en las filtraciones? Si has utilizado la misma contraseña que se ha filtrado en otros sitios web o servicios, es importante que la cambies cuanto antes. Esto es especialmente crítico en el caso de que sea la misma clave que en tu correo, en cuyo caso vigila que no te hayan cambiado las medidas de recuperación de la cuenta (pregunta secreta o similar). Además, y en lugares donde sea compatible, lo mejor es que actives la autentificación en dos pasos.
¿Cómo evitar problemas en el futuro? Viendo la cantidad de servicios comprometidos, nunca está de más tomar todas las precauciones posibles: no reutilices contraseñas, utiliza claves generadas aleatoriamente y sin patrones de ningún tipo (la más popular de LinkedIn era 123456 y la de Zuckerberg era dadada), activa la verificación en dos pasos (especialmente en las cuentas de correo) y, en el caso de que utilices Team Viewer o similares, asegúrate de proteger tu cuenta al máximo.
Ver 8 comentarios