Miles de millones de contraseñas se filtraron en línea de violaciones de datos pasadas


Apodada RockYou2021, la lista revelada en un foro de piratas informáticos contiene 8.400 millones de entradas de contraseñas, dice CyberNews.

concepto de contraseña

Imagen: iStock / sasun bughdaryan

Una lista de contraseñas filtradas descubiertas en un foro de piratas informáticos puede ser una de las colecciones de este tipo más grandes de todos los tiempos. Un archivo de texto de 100 GB filtrado por un usuario en un popular foro de hackers contiene 8.4 mil millones de contraseñas, probablemente recopilado de violaciones de datos pasadas, dijo el lunes el sitio de noticias de tecnología CyberNews.

VER: ¿Seguridad adicional o riesgo adicional? Professionals y contras de los administradores de contraseñas (TechRepublic)

Según los comentarios del usuario, las contraseñas de la colección varían de 6 a 20 caracteres con caracteres que no son ASCII y espacios en blanco eliminados. El usuario afirmó que la lista tiene 82 mil millones de contraseñas.

Pero CyberNews refutó esa afirmación, diciendo que su propia prueba encontró alrededor de 10 veces menos entradas, acercando la cifra a 8.400 millones. Sigue siendo un número considerable, especialmente si se tiene en cuenta que existen 4.7 mil millones de usuarios activos de Online alrededor del mundo.

El usuario del foro nombró la colección RockYou2021, que CyberNews dijo que cree que es una referencia al Violación de datos de RockYou de 2009 en el que el desarrollador de juegos sociales RockYou fue golpeado por un ataque que aprovechó una falla de inyección SQL. En este incidente, los 32 millones de contraseñas filtradas se habían almacenado en un formato no cifrado, lo que facilitaba a los piratas informáticos obtenerlas mediante la fuerza bruta.

La versión 2021 de RockYou contiene tantas contraseñas porque aprovechó una gran cantidad de bases de datos filtradas del pasado, incluida la Recopilación de muchas infracciones (COMB), que reveló más de 3,2 mil millones de pares únicos de correos electrónicos y contraseñas en texto sin cifrar. El único aspecto positivo es que muchas de estas contraseñas pueden provenir de cuentas inactivas o se han cambiado desde entonces.

«Las fugas de contraseñas de grandes volúmenes son siempre alarmantes de escuchar y deben tomarse en serio», dijo Saumitra Das, director de tecnología y cofundador de Blue Hexagon. «Nuestra propia investigación de este informe ha demostrado que una gran cantidad de contraseñas de cuentas se reciclan de violaciones anteriores y no necesariamente están activas».

Por ahora, se insta a los usuarios preocupados por las contraseñas filtradas y otra información confidencial a que tomen algunas medidas, tal como lo recomienda CyberNews.

  • Utilice un verificador de fugas de datos de buena reputación en el que pueda ingresar su dirección de correo electrónico para averiguar si su cuenta puede haber sido atrapada en una infracción. Los sitios que vale la pena probar incluyen ¿Me han engañado?, Monitor de Firefox, y Avast Hack Check out.
  • Si sabe o sospecha que una de sus cuentas se vio afectada por una violación de datos, cambie su contraseña de inmediato.
  • Considere la posibilidad de utilizar un administrador de contraseñas para crear, almacenar y aplicar contraseñas sólidas y seguras para sus cuentas en línea.
  • Habilite la autenticación multifactor en cualquier cuenta donde se ofrezca este método.
  • Esté atento a un aumento en los correos electrónicos no deseados y de suplantación de identidad a través de los cuales los atacantes intentan usar su dirección de correo electrónico filtrada para estafarlo.

Y aunque las contraseñas siguen pareciendo un mal necesario, existen otros métodos de autenticación más seguros, especialmente para las organizaciones.

«Las empresas y los usuarios deben tratar estos desarrollos como una llamada de atención para poner fin a su dependencia exagerada de las contraseñas», dijo el director de ingresos de Veridium, Rajiv Pimplaskar. «Los métodos de autenticación sin contraseña, como el teléfono como token y / o las claves de seguridad FIDO2, ahora están comúnmente disponibles. Estas soluciones crean una conexión no phishable entre el usuario y el sistema de TI y eliminan la necesidad de una contraseña, lo que lessen la superficie de ataque y hacer que el entorno sea más resistente a los ciberataques «.

Ver también



Enlace a la noticia original