Categoría: CIBERSEGUREDAD & CIBERDELINCUENCIA

UNA MÁS: “Collection #1”

La pasada semana acontecimos a la que ha sido catalogada ya como la mayor filtración de credenciales, emails-contraseñas, de la historia, “Collection #1”.

Se trata de una base de datos filtrada, inicialmente, en MEGA (ya eliminada), con 87GB de información, y un total de 773 millones de registros (22 millones de contraseñas únicas).

Como viene siendo habitual, es en sí un recopilatorio de multitud de filtraciones anteriores.

El problema se acrecienta cuando, Collection #1, es solo la parte 1, de hasta 4 collections más, sumando un total de 784GB.

collection#1.png

El investigador de seguridad, Troy Hunt, ya analizó e incorporó hace unos días los registros de “Collection #1” a la plataforma de verificación de leaks, HIBP (https://haveibeenpwned.com/), desde dónde se puede comprobar si una dirección de correo electrónico se encuentra o no en esta nueva filtración. Además, los 22 millones de contraseñas únicas localizadas en “Collection #1” ya han sido cargadas en 1Password (https://haveibeenpwned.com/Passwords), por lo que es posible comprobar si una contraseña empleada se haya filtrada en algún leak.

Como siempre, ahí van una serie de buenas prácticas para no tener problemas con filtraciones como esta:

  • Emplear contraseñas robustas y únicas para cada servicio. Obviamente es algo tedioso para el usuario y no es funcional, por ello es recomendable el uso de gestores de contraseña, como KeePass (Open Soruce), de modo que solo tengamos que recordar una única contraseña (lo más robusta posible), la contraseña maestra, que nos permitirá acceder al baúl del resto de passwords que no tendremos porque recordar. Además, podemos incorporar como plugin el listado de HIBP.
  • Uso de un segundo factor de autenticación (2FA) en todas aquellas aplicaciones y servicios que nos lo permitan, de modo que si un tercero posee nuestra contraseña, necesite accede físico a nuestro dispositivo móvil, por ejemplo, para logarse.
  • Proporcionar información personal solo en aquellos sitios web o plataformas que sean imprescindibles y sean de nuestra absoluta confianza. No proporcionando más allá de la información estrictamente requerida para el registro.

 

Por Francisco Carcaño