Alguien ha publicado, en un popular foro de 'hackers', un descomunal archivo .TXT con un peso de 100GB. ¿Su contenido? Más de 8.400 millones de contraseñas. Sí, hemos escrito bien la cifra: se trata de la mayor recopilación de contraseñas de todos los tiempos —aunque lo hace agrupando datos de varias filtraciones previas—.
De hecho, los datos de la que hasta ahora era la mayor recopilación de contraseñas, conocida como COMB o 'Compilation of Many Breaches' (3.200 millones de contraseñas), están incluidos en esta colección, que ha sido bautizada como 'RockYou2021' por el usuario que la subió…
…quien, por cierto, anunció en un primer momento que ofrecía la exagerada cifra de 82.000 millones de contraseñas, como si hiciera falta exagerar el tamaño de un listado como este.
Todo indica que el nombre hace referencia a la famosa filtración de datos de RockYou ocurrida en 2009, cuando unos atacantes consiguieron hacerse con 32 millones de contraseñas que habían sido almacenadas como texto sin formato. Sí, esas contraseñas también han sido incluidas en RockYou2021.
La descripción proporcionada por el creador de la recopilación indica que las contraseñas incluidas tienen entre 6 y 20 caracteres de longitud, y que los caracteres no ASCII y los espacios en blanco han sido eliminados.
El sueño de creador de diccionarios… para ataques de fuerza bruta
Pero, ¿por qué es relevante la existencia de este fichero, más allá de lo sorprendente de su tamaño? Detengámonos un instante a pensar: los datos indican que 'sólo' 4.700 millones de humanos tienen acceso a Internet hoy en día. Eso significa que potencialmente esta recopilación podría incluir dos contraseñas tuyas (posiblemente más si llevas muchos años en la Red).
Por esa razón, se recomienda a los usuarios que verifiquen inmediatamente si sus contraseñas están incluidas en RockYou2021. CyberNews ofrece una herramienta para comprobarlo: su Leaked Password Check, si bien avisan que hasta mañana no terminarán de subir todos los datos de la recopilación.
Y, gracias a la enorme representatividad de esta muestra de datos, los cibercriminales pueden usarla para crear sus propios diccionarios de contraseñas que mejoren la eficacia de sus ataques de fuerza bruta, así como —previo cruce con listados de emails— de sus ataques de 'password spraying'.
Para evitar ser víctima de estos ataques, recuerda los consejos habituales en estos casos: cambiar contraseñas regularmente, no reutilizarlas en diferentes servicios online, utilizar contraseñas lo suficientemente complejas (usa un gestor de contraseñas para ayudarte a recordarlas) y activar siempre que sea posible la autenticación de dos factores.
Ver 4 comentarios