Después de haber sido testado durante el verano, Mozilla ha lanzado oficialmente Mozilla Monitor, una web sobre privacidad que enlaza con la base de notificaciones de filtraciones de Tory Hunt: Have I Been Pwned? (HIBP).
La web, que pese a la etiqueta de Firefox está abierta para todos, puede ser usada para comprobar si un correo electrónico está en las bases de datos de filtraciones conocidas o también registrarse para recibir avisos sobre futuras filtraciones que se registren en HIBP.
Ambas cosas ya se pueden realizar en la propia HIBP, por lo que cabe preguntarse que hace Firefox Monitor que no haga HIBP.
Hay varias respuestas. La primera es que conectando HIBP a un sitio gestionado por Firefox hará que gane mucha popularidad.
Aumentar el número de personas que comprueben filtraciones de cientos de miles a millones será un gran avance para la detección de filtraciones, no solo porque HIBP ha detectado filtraciones antes de que las propias empresas se dieran cuenta, como en el caso de Disqus en 2012.
Cuanto antes un usuario sepa que su dirección de correo forma parte de una filtración, antes cambiará la contraseña. Antes de HIBP, podían pasar años después de que la dirección fuera pública, o incluso nunca se llegaría a cambiar.
Otra razón de integrar la notificación de filtraciones con el propio navegador, es un paso lógico que ya ha sido dado por la herramienta de gestión de contraseñas, 1Password.
No está claro si Mozilla está avanzando en esta dirección aunque una de las personas involucradas en este proyecto, Matt Grimes, realizó el siguiente comentario en su resumen sobre los orígenes de Mozilla Monitor:
El producto que lanzamos hoy no es el fin del camino para Firefox Monitor. Solo es un MVP [minimum viable product]. No hemos terminado de iterar y posiblemente nunca lo haremos.
Un reto técnico para servicios como HIPB y sus partners será como los usuarios realizarán las búsquedas (tanto para direcciones de correo o incluso contraseñas específicas, algo que HIPB también comprueba), de manera que estas estén perfectamente cifradas para evitar un riesgo de seguridad secundario.
En teoría, la búsqueda puede realizarse con un salted hash pero eso incrementaría en gran medida las necesidades computacionales cuando se realizaran muchas búsquedas.
La propuesta de la empresa que hospeda el Firefox Monitor, Cloudflare, es una idea matemática llamada k-anonimato. La empresa ofrece una descripción completa de cómo funciona, pero lo podemos resumir en lo siguiente.
La web genera un hash local de un email dado utilizando SHA-1 pero solo envía los seis primeros caracteres a HIPB a través de su API. Esto devuelve una lista de hashes que contienen la cadena buscada (sobre 477 de media), cada uno de los cuales se comprueba con el hash local completo. Si se encuentra una coincidencia, esa dirección de correo o contraseña está en la base de datos por lo que ha sido filtrada.
Ambas partes se benefician, el usuario mantiene el hash mientras que HIPB no tiene que devolver más hashes que los necesarios. Para más seguridad contra ciberataques, Firefox Monitor no almacena nada en su base de datos y el cache de los resultados del usuario se cifra.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: