A comienzo de año se tuvo noticia sobre una de las filtraciones de datos más grandes de los últimos tiempos: bases de datos con 773 millones de correos y 21 millones de contraseñas fueron publicadas en la web.
El experto en ciberseguridad Troy Hunt supo que esta voluminosa cantidad de datos estaban siendo compartidos en un popular foro de hackers. Según contó en su blog, se trataba de un compilado (que él bautizó Collection 1) de filtraciones que ocurrieron a lo largo de los años en numerosas plataformas y aplicaciones.
Ese no fue el único caso de filtraciones que se difundió en el último tiempo. A diario se dan a conocer casos de filtraciones masivas en la web. Muchas veces son compilados de datos que se vienen fugando hace años: desde casos más difundidos como el de Yahoo o Equifax hasta otros que pasaron desapercibidos.
Hunt creó un sitio de acceso gratuito llamado Have I been pawned donde se puede ingresar el correo para saber si ese mail figura en esa mega filtración conocida como Collection 1 o en algunas de las otras tantas que se vienen difundiendo en el último tiempo. El sitio va a actualizando con los nuevos casos que se conocen.
El sitio Firefox Monitor también utiliza esa misma base de información para informarle al usuario si su correo figura en alguna de las filtraciones masivas. La diferencia con Have I been pawned es la interfaz, que puede resultar más amigable para el usuario por cómo despliega la información.
En ambos casos explica en cuántas filtraciones figura el correo y qué datos fueron difundidos: en algunos casos sólo se expuso el nombre de usuario y mail; en tanto que en otros casos las filtraciones no sólo comprometieron el nombre de correo, sino también la contraseña y los teléfonos.
Es posible que algún usuario prefiera no ingresar su correo en estas dos páginas mencionadas por considerar que ese mail podría ser compilado por estos sitios y luego podría ser utilizado para enviar correo spam. En principio esto no se ha reportado, pero siempre es válido tomar precauciones. En todo caso lo que se está ingresando solamente es el correo.
Google, por su parte, también lanzó una herramienta que se llama Password Checkup para alertar sobre el robo de contraseñas, pero en este caso se requiere la instalación de un complemento en el navegador.
Qué hacer al respecto
Más allá de que se decida usar esos sitios para consultar si tu información fue comprometida o no, lo cierto es que ante la duda hay que asumir que los datos pudieron haber sido filtrados o eventualmente pueden ser vulnerados, entonces lo más conveniente siempre, es cambiar la contraseña con frecuencia y, por sobre todas las cosas, no utilizar el mismo password en todos lados. ¿Por qué? Porque si se usa la misma contraseña en todos lo sitios, basta con que se haya filtrado el password en alguno de esos sitios para que eventualmente pueda ser utilizado para ingresar a todas las otras plataformas que utiliza el usuario.
Probablemente pienses: ¿pero quién me va a querer hackear a mí? A veces se hacen ataques masivos y no van dirigidos a una persona en particular, sino a un grupo porque las ganancias se dan por volumen. Esto puede ocurrir, por ejemplo, cuando los cibercriminales obtienen dinero por medio de un ransomware que se instaló en un equipo luego de que el usuario ingresó a un link malicioso o descargó un adjunto que dice “facturas”, “notas” o cualquier otra cosa que parezca creíble. Si logran replicar este engaño mil veces, se llevan un buen botín sin demasiado esfuerzo.
Y en otras ocasiones hay que pensar que posiblemente el ataque no se dirige a la persona en sí a la que le llega el link malicioso a quien se le vulnera la contraseña, sino que esa persona es un eslabón en la cadena de ataque y que en realidad, los cibercriminales están usando a esa persona como una puerta de entrada para ingresar a las organizaciones en las que trabajan.
Otra cosa muy importante es utilizar segundo factor de autenticación en todas las cuentas: Gmail, Twitter, Facebook, Instagram, WhatsApp, etc. Hoy en día la mayoría de las plataformas ofrecen la posibilidad de activar esta opción desde el menú de configuración. El segundo factor de autenticación consiste en emplear un segundo método para autenticar la identidad del usuario. Ese segundo método es un código que se recibe por SMS o aplicación de autenticación o bien se puede recurrir a una lleva física de seguridad.
Esta opción se puede activar desde el menú de configuración de diferentes plataformas. Aquí, el paso a paso para activarlo en algunas de ellas.
Cómo activar la verificación en dos pasos en diferentes cuentas
Gmail:
Ir hasta el panel Cuenta dentro de Gmail, al que se puede acceder dese el correo o haciendo clic aquí. Una vez allí ir hasta Seguridad y en el margen derecho se verá la opción “Verificación en dos pasos”. Ingresar allí y configurar el sistema que se desea usar para recibir ese segundo código. Puede ser un SMS aunque de todas las opciones es el más inseguro porque se reportaron casos donde estos códigos fueron interceptados, de todos modos es mejor que no utilizar nada. También se puede emplear una aplicación para recibir el código como, por ejemplo, Authy o Google Authenticator, entre otras. Lo más seguro es usar una llave física como segundo factor.
Desde la app, presionar la foto de perfil y se desplegarán varias opciones. Hay que ingresar donde dice Configuración y privacidad, luego hacer clic donde dice Cuenta/Seguridad/Verificación de inicio de sesión y allí elegir el segundo método de autenticación.
Ir hasta el menú de configuración haciendo clic en el botón que figura en el margen superior derecho de la versión desktop o ingresando a este link. A la derecha se verán varias opciones para configurar, una de ellas es el apartado Autenticación en dos pasos. Ingresar allí y activarlo.
Presionar en las tres rayas horizontales que están en el margen superior derecho de la app, luego ir hasta Configuración/Seguridad/Autenticación en dos pasos y allí elegir el método que se utilizará como segundo factor de autenticación.
¿Con todo esto estás protegido? Hay que entender que cuando uno entra al mundo digital nada es infalible, como tampoco lo es en el mundo real. Así que la respuesta es que no estás totalmente protegido, sino que tenés menos chances de que se vulnere tu seguridad. Es como decir: ¿Si uso la mejor cerradura y tenga la mejor alarma no me van a robar nunca? No lo sabemos. Es posible que te roben pero hay menos chances de que ocurra cuantas más precauciones se tomen. De eso se trata, en la vida analógica y en la vida digital.
MÁS SOBRE ESTE TEMA: