Hecha la ley, hecha la trampa, y parece que hecha seguridad, hecho el hackeo. Hace unas semanas de hecho hablábamos del particular hackeo que al parecer ha sufrido ni más ni menos que la NSA, la agencia estadounidense de seguridad nacional. Pero pese a lo reciente ni siquiera ésa es la última filtración masiva que una organización conocida sufre, y de hecho 2016 es un firme candidato a ser el año de los hackeos masivos de cuentas.
Hace unas horas era noticia que unas 800.000 cuentas de Brazzers, una página web de visualización de contenido pornográfico, quedaban expuestas debido a un fallo de seguridad. El enésimo derrame de la privacidad de miles de usuarios, ¿qué otros han acontecido durante este accidentado 2016?
Año nuevo, hackeo nuevo
Aunque puede que lo que más nos suene en relación a la descarga de torrents sea el relativamente reciente cierre de Kickass o los clones que surgieron como hongos casi inmediatamente, el año empezaba con la noticia de que BitTorrent había sido hackeado. Tanto Troy Hunt, administrador de Have I been Pwned (una web que verifica si nuestro correo ha sido afectada por alguna de estas filtraciones) como Motherboard tuvieron acceso a los datos.
Desde BitTorrent confirmaron que había habido un problema de seguridad que había permitido el acceso a las cuentas de los usuarios, concretamente de 34.000 cuentas. El acceso fue posible gracias a que se usaba el algoritmo de seguridad SHA1, el cual se considera desde hace tiempo obsoleto y no pone muchas trabas a los hackers.
Game Over para Neopets
De nuevo Motherboard y Have I Been Pwned, así como LeakedSource (una web del estilo de HIBP) se hicieron eco del hackeo masivo que sufrió la web de mascotas virtuales Neopets. El juego de la compañía JumpStart recoge algunos datos personales a los cuales al parecer se tuvo acceso hacia 2014, año de la adquisición de Neopets por parte de JumpStart.
Al parecer, un total de 70 millones de cuentas fueron hackeadas, tras lo cual se notificó a los usuarios que debían cambiar las contraseñas. Según HIBP, se vieron comprometidos datos como la fecha de nacimiento, localizaciones geográficos, direcciones IP, contraseñas o direcciones de correo.
LinkedIn: dando más trabajo del que pretendían
Si bien en el caso de la NSA vimos que la información se subastaba, lo que se dio a mediados del mes de mayo era una venta directa. En aquel caso se trataba de correos electrónicos y contraseñas de cuentas de LinkedIn, el servicio que unos meses más tarde pasaría a ser de Microsoft. Como en general ocurre con estos hackeos el número de cuentas era bastante espectacular, tratándose de hasta 117 millones de usuarios afectados.
Al parecer el servicio tenía un agujero de seguridad que permitió que saliesen a la luz unos 6,5 millones de contraseñas en 2012. Fue en ese momento cuando supuestamente Paz (el autor) se aprovisionó de la información que éste ofrecía en The Real Deal (un mercado en la Deep Web). ¿El precio? Cinco bitcoins (la divisa habitual cuando hablamos de estas compraventas), es decir, unos 2.700 euros. Y junto a él la web LeakedSource, que aseguró tener datos de hasta casi 170 millones de cuentas, encabezando el pódium de filtraciones en cuanto a número de afectados en el momento.
El caso de Tumblr
Si LinkedIn se catapultaba a la pole de los hackeos, el de Tumblr durante el mismo mes no se quedaba muy atrás. El servicio de microblogging hacía publico que hubo un acceso externo a un conjunto de direcciones de correo en contraseñas a principios de 2013, asegurando que se había localizado el agujero de seguridad y se había corregido. En total, más de 65 millones de afectados.
Algo que verificaba Troy Hunt en Have I Been Phowned, quien tuvo acceso a los datos filtrados. Como hiciese LinkedIn, Tumblr pidió el cambio de contraseñas y además tomó medidas como la verificación en dos pasos para aumentar la seguridad.
Lo social no se salva aunque sea antiguo: MySpace
De nuevo era LeakedSource quien aseguraba tener otra ración de millones de datos privados de un servicio conocido, si bien éste tuvo hace tiempo sus años de gloria. Según edad y el tiempo que estemos navegando entre los servicios digitales nos sonará más o menos MySpace, uno de los gérmenes del fenómenos social digital que aunque cada vez es menos usado no deja de ser una base de datos y, por tanto, una diana de hackeos.
En este caótico mes de mayo en cuanto a privacidad también se aseguró una filtración de 427.484.128 contraseñas, afectando a unos 360 millones de usuarios. Según contaban en la web la información les fue facilitada por un usuario (Tessa88@exploit.im) que pudo acceder a un servidor protegido, de nuevo, por el algoritmo SHA1. Este hackeo, por cierto, arrebató la pole de número de afectados y sigue en primer lugar.
Una cita con las filtraciones: Badoo
Hace algo más de un año Ashley Madison fue también protagonista de la filtración de datos de sus clientes, pero no fue el único sitio de citas y encuentros. A principios del pasado mes de junio en Motherboard publicaban acerca de la circulación de datos personales de usuarios de Badoo en la Deep Web.
Correos, contraseñas, fechas de nacimiento y nombres completos que fueron subidos en LeackedSource y compartidos a Motherboard, siendo al parecer un total de 127.343.437 registros. En este caso el algoritmo de seguridad era MD5, el cual no supone demasiados problemas para los hackers desde hace tiempo. Por su parte, Badoo negó a Motherboard que se hubiese dado un hackeo y que monitorizaban continuamente la seguridad.
El "no hackeo" de VK
Más objetivos relacionados con lo social, en esta ocasión un servicio creado por Pavel Durov, el CEO de Telegram (y que posteriormente vendería), y que es más popular en Rusia. VK, una red similar a Facebook, fue hackeada por "Peace" el pasado mes de junio según informaba Motherboard, web a la que el hacker mostró la información.
Un total de 100.544.934 registros entre los que se encontraban nombre y apellidos, correos electrónicos, números de teléfono y contraseñas pertenecientes a unos 100 millones de usuarios. Como hemos visto en otros casos, el autor puso precio a esta gran cantidad de información, en este caso un bitcoin (unos 544 euros), también en The Real Deal.
Aquí de nuevo se citaba la participación del usuario Tessa88@exploit.im por parte de LeakedSource, donde además añadían que la contraseña más popular era "123456" vista en más de 700.000 de los casos (también fue la más común en el caso LinkedIn). Pese a ser uno de los sites que aparecen en la lista de Have I Been Pwned, VK negó que hubiese habido una brecha de seguridad y que se trataba de "antiguos usuarios/contraseñas que habían sido recopilados en 2011-2012".
Dropbox: un historial completo con una reciente guinda
Uno de los servicios primigenios en esto de copar la nube con nuestras pertenencias virtuales, entre las cuales hay toda clase de archivos y datos personales, y que ha sido protagonista de varios incidentes relacionados con un compromiso de la seguridad de los mismos. Ya en 2012 una brecha de seguridad hizo posible que los usuarios recibieran spam en sus cuentas de correo, asunto que se confirmó posteriormente cuando la empresa comunicó que estaba investigándolo.
Dos años después hubo otra filtración que afectó a 7 millones de usuarios. Hechos que sumándose a los anteriores iban afectando a la reputación del servicio, con la "ayuda" de Snowden que puntualizó que usándola poníamos en peligro nuestra privacidad, y vinculándolo a PRISM, a lo cual respondió Dropbox negando dicho nexo.
Salvaguardar la información de nuestros usuarios es una prioridad para Dropbox. No estamos comprometidos con PRISM, y nos resistimos a colaborar con ningún programa de este tipo.
Y al parecer los años pares no favorecen a la compañía de la caja azul. Hace unos días se confirmaba un nuevo hackeo a Dropbox, tras haber pedido a los usuarios que tuviesen una cuenta desde antes del año 2012 que como medida preventiva genérica (en principio) cambiasen la contraseña. En total de 68 millones de cuentas se vieron comprometidas, y aquí de nuevo aparece el algoritmo SHA1, de cuya obsolescencia ya se habló en el caso de MySpace.
Last.fm, last hacked
La plataforma social de música ha sido la última que se ha sumado a esta lista de hackeos masivos de 2016, aunque se trata de una filtración que ocurría en 2012. En este caso habla ArsTechnica de más de 43 millones de cuentas afectadas, viendo aquí dos factores que se daban en otros hackeos: la sorprendente abundancia del password "123456" (255.000 usuarios, y otros 92.000 con "password") y el algoritmo de seguridad MD5.
LeakedSource, la fuente de esta filtración también en esta ocasión, explicaba que sólo les llevó dos horas desvelar el 96% de las contraseñas. Además, indica que a partir del próximo mes habrá aún más revelaciones de filtraciones masivas, sin especificar ni detallar nada más.
¿Te preocupan tus cuentas? Consulta a los expertos
Antes os mencionábamos Have I been pwned al hablar de la filtración de LinkedIn. Esta web es un recopilatorio de las principales filtraciones y hackeos de servicios como los que hemos citado, hecha por Troy Hunt, experto en seguridad. Además de esta información la web es un servicio de verificación en caso de que queramos saber si nuestro correo está en una de esas filtraciones.
El propio Hunt explicaba en detalle cómo verificaba estas filtraciones con tal de comprobar que sean ciertas. Así que en caso de que tengamos dudas sobre nuestras cuentas de correo, podemos ver fácilmente si han sido afectadas por alguna de las filtraciones, o bien que se nos notifique cuando lo sean.
¿Es tu caso? Si el buscador te indica que tu correo aparece en uno o varios de los casos lo mejor es que modifiques la contraseña (si tiendes a repetirla en otros servicios tampoco vendrá mal que la modifiques ahí). Otra precaución útil es recurrir a la verificación e dos pasos cuando está disponible, así como huir de las contraseñas tipo "dadada" y recurrir por ejemplo a generadores de claves (intercalan números, símbolos y mayúsculas y minúsculas).
En Xataka | Cuando las malas contraseñas del pasado te hacen la vida imposible en el presente
En Genbeta | El porno no se libra: casi 800.000 cuentas de Brazzers expuestas por un fallo de seguridad