El conocido investigador de seguridad informática Troy Hunt hoy reportó uno de los mayores robos de datos de los últimos tiempos, develando que los cibercriminales consiguieron más de 773 millones de direcciones de email únicas y mas de 21 millones de contaseñas únicas, fichero al que en los círculos de hackers se lo conoce como «Collection #1«.
De acuerdo a Hunt el fichero que fue subido por primera vez al servicio MEGA y que ahora ya lo han eliminado, tenía un tamaño de 87 GB y estaba compuesto de 12.000 ficheros que en su totalidad poseían 2,700 millones de registros.
También en su investigación descubrió que el fichero se encontraba en un forum, también muy visitado por hackers. Lamentablemente dentro del fichero se encuentra varios millones de registros denominados como «combos», los cuales están compuestos de la dirección de email y la contraseña de la misma.
En total Hunt encontró 1.160.253.228 combinaciones únicas de direcciones de email y contraseñas. Hunt también dijo que dentro de este número de combinaciones se encuentran muchos registros que no sirven (basura)
¿Cómo saber si su dirección de email y contraseña se encuentra en ese fichero?
Pueden visitar el servicio Have I been Pwned y en el cuadro de texto solo ingresan su dirección de email, clic en Pwned? y en cuestión de un par de segundos sabrán si su email se encuentra en alguno de los ataques de los últimos años, incluido este último.
En este servicio también permiten conocer si la contraseña, además del email, aparece en esos ficheros con datos robados en distintos ataques.
¿Qué hacer si se encuentran en algunos de los ataques en que robaron datos?
Si no lo hicieron hasta ahora, cambiar inmediatamente la contraseña y también si el servicio que utilizan (e-mail, forum, nube y otros) lo ofrece, adoptar el procedimiento de seguridad de autenticación de dos factores, el cual consiste en dos tipos de autenticación para acceder a la cuenta. Normalmente uno es una contraseña y el segundo y más usado es el envío de un código en un mensaje de texto, el cual deben de ingresar para acceder a su cuenta. También muy usado es ingresar un código que se obtiene a través de una aplicación que ofrecen distintos servicios.
Este procedimiento de autenticación de dos factores es ofrecido por la mayoría de los servicios grandes como Facebook, Instagram, WhatsApp, Microsoft, Google y otros, así no existen excusas para no adoptar una medida de seguridad como esta.