Contraseñas filtradas: Cómo saber si alguien ha obtenido tus datos

Puede que sienta que al usar contraseñas fuertes y únicas, está seguro. Pero Internet funciona de una manera diferente a como la mayoría de la gente imagina. Prácticamente cada semana aparece una nueva filtración de datos en la que las credenciales de inicio de sesión de servicios comprometidos llegan a Internet. Luego, frecuentemente terminan en amplias bases de datos de contraseñas filtradas que se distribuyen libremente entre atacantes e incluso usuarios comunes. No se trata de un error humano, sino de un problema de los sitios web y aplicaciones comprometidos a los que nos conectamos.

Basta con que uno de ellos esté en riesgo para que sus credenciales de inicio de sesión puedan aparecer en algún lugar donde definitivamente no pertenecen. Y es precisamente por eso que tiene sentido hacer una verificación regular de contraseñas. Le ayudará a saber si sus datos están entre las contraseñas filtradas y le permitirá intervenir antes de que ocurran las consecuencias.

En el artículo explicamos por qué no basta con tener solo una contraseña fuerte, cómo funcionan las bases de datos con datos filtrados, cómo verificar de manera segura sus cuentas y cómo protegerse en el futuro.

Por qué no basta solo con una contraseña fuerte

Una contraseña fuerte es un buen comienzo, pero por sí sola no cubre todo. Mucho más a menudo que adivinando contraseñas, los atacantes obtienen credenciales de inicio de sesión gracias a la vulneración de servicios. Cuando los datos de un servicio se filtran, partes de estos registros terminan entre las contraseñas filtradas y continúan circulando por la red.

El problema se agrava porque estos archivos se combinan y se comercian. Los atacantes los comparan con otras filtraciones, buscan coincidencias y prueban combinaciones de nombre más contraseña automáticamente en cientos de sitios web. Esta táctica la llaman los expertos en seguridad 'credential stuffing' y funciona porque la gente sigue repitiendo contraseñas o solo modifica ligeramente una combinación básica.

De esto se deriva una regla simple: la fortaleza de una contraseña no garantiza seguridad si ya ha sido revelada en otro lugar. Por eso es necesario hacer verificaciones regulares para saber si sus datos se están vendiendo o circulando en bases de datos de filtraciones. Esa información le permitirá actuar antes y prevenir mayores daños.

Cómo funcionan las bases de datos de contraseñas filtradas

Cuando se produce una filtración de datos de algún servicio, los atacantes a menudo combinan estos datos con otras filtraciones y crean amplias bases de datos. Contienen miles de millones de correos electrónicos, nombres de usuario y versiones cifradas de contraseñas de varios años. A menudo se trata de la combinación de muchas pequeñas filtraciones que eventualmente se unen en un único archivo enorme.

Para orientar esta enorme cantidad de datos, los registros están etiquetados según la fuente y la fecha de la filtración. Los atacantes utilizan estos archivos para pruebas masivas y automatizadas de inicio de sesión, donde se prueban progresivamente los pares almacenados de correo electrónico más contraseña en cientos o miles de sitios web. Si utiliza la misma contraseña en varios lugares, una sola coincidencia exitosa a menudo basta para que un atacante acceda también a sus otras cuentas.

Sin embargo, expertos en seguridad también trabajan con similares bases de datos. Utilizan huellas matemáticas de contraseñas que permiten comparar datos sin que nadie vea su contenido real. Esto permite la creación de herramientas seguras que ayudan a los usuarios a saber si sus datos han sido comprometidos sin arriesgarse a un mal uso.

Cómo realizar una verificación segura de contraseñas

Si quiere saber si sus datos han sido comprometidos alguna vez, la forma más confiable es usar el servicio Have I Been Pwned. Es uno de los proyectos más confiables en el área de seguridad en línea y recopila datos de miles de filtraciones verificadas.

Su uso es sencillo. Abra el sitio web haveibeenpwned.com, ingrese su correo electrónico y confirme la búsqueda. En unos pocos segundos verá el resultado. Si el sistema no encuentra ninguna coincidencia, verá un mensaje verde indicando que su cuenta no ha sido registrada en ninguna de las filtraciones conocidas. Si por el contrario encuentra coincidencias, verá una lista de servicios afectados por la filtración y la fecha aproximada en que ocurrió. También puede suscribirse a alertas que le informan sobre nuevos incidentes.

Otras opciones son las herramientas integradas en los navegadores de Internet. Google Chrome ofrece el servicio Password Checkup, Mozilla Firefox usa el sistema Firefox Monitor y Microsoft Edge incluye Password Monitor. Todas estas funciones pueden seguir automáticamente las contraseñas almacenadas y alertarle si aparecen entre las contraseñas filtradas. La ventaja es que la verificación se realiza directamente en el navegador y no necesita iniciarla manualmente.

Quien quiera tener un mayor control sobre sus credenciales de inicio de sesión, puede combinar esta verificación con un gestor de contraseñas. Herramientas como 1Password, Dashlane o LastPass funcionan como una bóveda personal que almacena todas las contraseñas cifradas y puede completarlas automáticamente. También permiten generar nuevas contraseñas fuertes y únicas para cada cuenta, para que no tenga que recordarlas usted mismo y en la práctica ni siquiera necesita conocerlas, ya que la aplicación los completa por usted.

Funcionalidades como Watchtower en 1Password, Dark Web Monitoring en LastPass o Dark Web Insights en Dashlane utilizan la comparación cifrada con bases de datos de contraseñas filtradas y le alertan si sus datos aparecen en una nueva filtración. Gracias a esto, tiene una visión general de todas sus cuentas en un solo lugar y la certeza de que puede reaccionar inmediatamente ante cualquier problema.

Cuando descubre que sus datos han sido filtrados

Saber que su cuenta ha aparecido en una base de datos de contraseñas filtradas no es necesariamente motivo de pánico. Significa que en algún momento pasado fue parte de una filtración de datos, no necesariamente que alguien lo esté utilizando ahora mismo. Lo importante es mantener la calma y tomar rápidamente algunos pasos que minimicen el riesgo.

1. Cambie la contraseña en la cuenta comprometida.

Use una contraseña completamente nueva y única que nunca haya usado en otro lugar. Si ha usado combinaciones similares en varios servicios, cámbielas también. De esta manera, evitará que los datos revelados se puedan reutilizar.

2. Revise los inicios de sesión recientes.

Verifique si alguien ajeno ha iniciado sesión recientemente en su cuenta. Gmail, Microsoft, Facebook y otros servicios permiten ver el historial de inicios de sesión y dispositivos activos. Si ve algo sospechoso, cierre sesión en todas las sesiones inmediatamente e inicie sesión nuevamente con nueva contraseña.

3. Active la verificación en dos pasos.

Además de la contraseña, deberá ingresar un segundo código de verificación que llegará a una aplicación o teléfono. Aunque alguien obtuviera sus credenciales, sin el segundo factor no podrá acceder a la cuenta. La verificación en dos pasos es hoy el método más efectivo para protegerse incluso en el caso de otras contraseñas filtradas.

4. Revise otras cuentas.

Los atacantes a menudo prueban las mismas combinaciones de correo electrónico y contraseña en otros sitios web. Realice una nueva verificación de contraseñas y asegúrese de que ninguna otra cuenta esté en riesgo. Si utiliza un gestor de contraseñas, puede gestionar todos los datos en un solo lugar y recibir alertas ante cada nueva filtración.

5. Aprenda para la próxima vez.

Una filtración de datos no es el fin del mundo, pero sí una advertencia. Reaccione rápidamente, supervise la seguridad de sus cuentas y configure un sistema que le proteja en el futuro.

Cómo protegerse en el futuro

La seguridad cibernética no es una acción puntual, sino más bien un hábito a largo plazo. Después de una verificación de contraseñas, debería pensar en cómo prevenir situaciones similares en el futuro. La clave es mantenerse al tanto de sus cuentas, cuidarlas regularmente y reaccionar antes de que surja un problema.

1. Clasifique sus cuentas según su importancia.

Un correo electrónico con el que se inicia sesión en otros lugares tiene un peso diferente al de una cuenta en una tienda en línea donde compra una vez al año. Para las más importantes, use credenciales de inicio de sesión únicas y verificación en dos pasos.

2. Configure recordatorios.

Así como cambia las contraseñas del Wi-Fi o el PIN de la tarjeta, vale la pena hacer también una revisión rápida de cuentas de vez en cuando. Verifique si no está usando credenciales antiguas o similares en algún lado y si su gestor de contraseñas no alerta sobre contraseñas filtradas.

3. Tenga cuidado a donde hace clic.

Los correos electrónicos de phishing son cada vez más frecuentes. Nunca haga clic en enlaces que le piden que inicie sesión, incluso si parecen confiables. Siempre inicie sesión manualmente a través del sitio web oficial o la aplicación.

4. Actualice dispositivos y software.

Muchos ataques explotan vulnerabilidades en sistemas desactualizados. Las actualizaciones automáticas son una manera simple de protegerse sin esfuerzo.

5. Eduque a sí mismo y a otros.

Un comportamiento seguro en Internet debería ser tan natural como cerrar con llave su casa. Comparta estos hábitos también con las personas a su alrededor. Cuantas más personas los sigan, menor será la posibilidad de que alguien a su alrededor contribuya involuntariamente a una filtración de datos.

Revise sus cuentas hoy mismo

Las filtraciones de datos son una realidad del Internet actual. No se pueden prevenir por completo, pero se puede influir en cómo le afectan. Solo necesita verificar sus cuentas de vez en cuando, ajustar los puntos débiles y mantenerse al tanto. Cada paso de este tipo aumenta la posibilidad de que, aunque sus datos se filtren alguna vez, permanezcan bajo su control.