En caso de que nunca hayas oído hablar Have I Been Pwned (o HIBP), se trata de un servicio online administrado desde Queensland, Australia, por un investigador de filtraciones de datos llamado Troy Hunt.
La idea detrás de HIBP es sencilla: ofrecer una forma rápida de verificar si tus cuentas online han sufrido filtraciones que ya son públicas.
Por supuesto, esperarías que una empresa que sufrió una violación de datos se lo hiciera saber a sus usuarios, por lo que no se necesitaría un sitio web de terceros como HIBP para averiguarlo.
Pero existen numerosos problemas al confiar en la buena voluntad y la capacidad de una empresa que acaba de sufrir una filtración, entre otras cosas porque la escala de la filtración podría no ser obvia al principio, si es que la empresa se da cuenta.
E incluso si la empresa hace todo lo posible para identificar a las víctimas de la infracción, es posible que no tenga datos de contacto actualizados, los correos electrónicos de advertencia pueden perderse o puede que no esté segura de qué usuarios se vieron afectados.
Irónicamente, quizás, el hecho de que sea difícil para una empresa tener claro cuántos registros fueron robados durante un ataque puede tener dos resultados diferentes:
- Es posible que la compañía no informe a todas las personas realmente afectadas, debido a que subestima el alcance del ataque.
- La organización podría decidir comunicar a todos sus clientes que podrían haberse visto afectados, incluso aquellos que no lo fueron, debido a que no pueden estimar la magnitud del ataque.
De hecho, la base de datos HIBP de Hunt comenzó en 2013, cuando Adobe sufrió una violación masiva de datos que demostró lo difícil que puede ser, incluso para una empresa grande y bien establecida, descubrir qué sucedió después de un ciberataque.
El gigante del software de arte y diseño admitió en octubre de 2013 que su red había sido atacada, y su director de seguridad afirmó que se había robado “cierta información relacionada con 2,9 millones de clientes de Adobe“.
Esa estimación pronto se incrementó a 38 millones, pero la brecha resultó finalmente haber expuesto las contraseñas cifradas pero altamente crackeables de alrededor de 150 millones de cuentas, lo que hizo que la brecha fuera 50 veces mayor de lo que se creyó al principio.
Compruébalo tú mismo
Por lo tanto, Hunt se propuso recopilar información personal de las filtraciones de datos que ya se habían hecho públicas y permitir que se pueda buscar de forma segura a través de su servicio HIBP.
Después de todo, se trataba de datos robados que estaban disponibles para cualquier persona con la paciencia suficiente para buscarlos por sí mismos con fines maliciosos, así que, ¿por qué no intentar usarlos para hacer el bien?
Sorprendentemente, su servicio ahora incluye miles de millones de registros de 538 infracciones durante los últimos ocho años.
¿Consiguieron tu contraseña?
Afortunadamente, no todos los registros de datos filtrados exponen directamente la contraseña de la víctima, incluso si los datos de la contraseña estaban entre la información robada.
Las organizaciones que se preocupan por la ciberseguridad evitan almacenar contraseñas reales, por lo general, guardan una representación hash unidireccional de las contraseñas.
Esta versión hash de la contraseña se puede obtener rápidamente a partir de la contraseña real, que solo debe almacenarse temporalmente en la memoria, pero un hash criptográfico no se puede manipular al revés para extraer la contraseña original o, de hecho, para saber algo sobre ella.
El hash de las contraseñas almacenadas no exime de mantener seguros los hash, por supuesto, porque los hash robados se pueden “descifrar” uno por uno probando las contraseñas una tras otra, según una lista de opciones probables conocida como diccionario.
El proceso de hash, es una segunda capa de defensa: cuanto más inusual sea la elección de contraseña y cuanto más larga sea, menos probable es que un ciberdelincuente pueda encontrar un hash que coincida con él en una base de datos robada y, por lo tanto, una base de datos de hashes robados será menos útil.
Ten en cuenta que las bases de datos de autenticación almacenadas correctamente no solo almacenan un hash de su contraseña, sino que también almacenan una cadena aleatoria única de caracteres conocida coloquialmente como salt que se combina con la contraseña antes de que sea hash. Esto asegura que si dos usuarios eligen la misma password, sus hashes sean completamente diferentes, por lo que todas las contraseñas posibles deben probarse por separado para cada posible usuario. Si se utilizan salts, no hay forma de calcular una tabla de búsqueda de uso general que convierta hashes directamente en contraseñas, porque necesitaría una nueva tabla de búsqueda para cada usuario.
¿Qué pasa si las contraseñas no tienen hash?
Pero, ¿qué pasa con las contraseñas que los ciberdelincuentes obtuvieron en su forma cruda y sin hash?
Se supone que eso no puede suceder, pero:
- Los servicios de Internet descuidados a veces almacenan contraseñas de texto sin formato a propósito, aunque saben que no deberían hacerlo, pero esto, afortunadamente, es cada vez menos común en estos días.
- El malware de keylogging en un ordenador puede capturar contraseñas a medida que se introducen y enviar los datos sin procesar directamente a los ciberdelincuentes que usan las passowrords, las venden a otros delincuentes o ambas cosas.
- Hay tipos de malware que analizan la memoria de los servidores pudiendo rastrear las contraseñas mientras se verifican, incluso si se eliminan de la memoria inmediatamente después de su uso y nunca se escriben en el disco.
- Una codificación deficiente por parte de un proveedor de servicios podría resultar en que las contraseñas se guarden en forma de texto sin formato por error, por ejemplo, en un archivo de registro, donde pueden pasar desapercibidas durante meses o incluso años.
Google admitió en 2019 que inadvertidamente, aunque solo ocasionalmente, había estado registrando contraseñas no cifradas durante 14 años.
Facebook admitió, casi al mismo tiempo, un error similar que afectó a millones de cuentas de Facebook e Instagram.
En ese tipo de situación, probablemente no esperarías que tu contraseña aparezca en una web pública que podría terminar en HIBP, dado que tu contraseña probablemente no estuvo expuesta debido a ningún incidente de piratería específico en ninguna empresa en particular.
Peor aún, si tu contraseña es rastreada y recopilada en su forma original, los ciberdelincuentes pueden simplemente comenzar a usarla de inmediato sin hacer ningún descifrado de hash primero, y ni la aleatoriedad ni la longitud de tu contraseña ayudarían a protegerla mejor.
Obviamente es mucho más probable que adivinen la contraseña iloveyou2 que la contraseña P6GZ54EN5OTV, pero si adquieres la contraseña en su forma original, no necesitas adivinar nada, de modo que incluso C5eblGtr35fDn3TW$/”eeX no es más seguro que 123456.
Por lo tanto, Hunt también ofrece un servicio público llamado Pwned Passwords, donde puedes buscar tu propia contraseña en una base de datos de poco más de 600 millones de contraseñas ya recuperadas, ya sea que esas contraseñas hayan sido robadas debido a una filtración de datos corporativos a gran escala, a un plan cuidadosamente planeado de ataque de ransomware, un malware de larga duración o cualquier otra causa.
Suponiendo que usas un administrador de contraseñas, o eliges contraseñas largas y complejas que no siguen ningún patrón obvio, es razonable suponer que cada una de tus contraseñas es globalmente única de modo que si encuentras tu contraseña en la lista de Contraseñas Pwned de Hunt (que es una descarga enorme de 10GB), entonces es igualmente razonable suponer que no está allí por casualidad.
Está ahí porque ya no es un secreto: alguien ya la robó, la guardó y luego la filtró, la pirateó, la vendió o lo público por unos euros.
En resumen, ¡será mejor que la cambies de inmediato!
Evitar una descarga de 10 GB
Si no tienes el tiempo o la energía para descargar 10 GB o más de datos de Pwned Passwords, puedes buscar su contraseña sin revelarla directamente.
Hunt almacena los 600 millones de contraseñas como hashes SHA-1, por lo que todas salen como números de 20 bytes, cada uno representado como 40 dígitos hexadecimales. (Dos dígitos hexadecimales de 4 bits cada uno constituyen un byte de 8 bits).
Simplemente haz un hash de tu propia contraseña y busca el hash en dos etapas, como se muestra a continuación, para que nunca reveles directamente qué contraseña te interesa.
Supongamos que tu contraseña es ucanttouchthis. Coge los primeros cinco bytes hexadecimales del hash SHA-1 de tu contraseña y visita una URL especial que termina con esos bytes, que denota un número de 20 bits de 0 a poco más de un millón. (220 = 1.048.576).
Eso muestra una página de aproximadamente 600 hashes de contraseña para cada prefijo de 5 bytes, y busca en esa lista mucho más manejable los 35 bytes hexadecimales finales de tu hash, así:
$ echo -n 'ucanttouchthis' | sha1sum 2b355435e608aad0476ce74001d44aada409c1ab - # First 5 digits are 2B355 in hex # You're looking for the remaining digits 435E...C1AB $ curl https://api.pwnedpasswords.com/range/2B355 0060C6035CFE881ED8490EE2CBAC18247B5:2 02475EE4CCEA7E427D129134D879B56C67C:5 02FBDEF169D2AC92C53D132CBC5D9DDAB4F:1 039864D5A4F176ACF5F43D86B348DDB95F3:1 041F4A10B74CD813905BD39D78DEA151A84:1 . . . . 42C90D0D51A2FE0F8FC026C971B9D00975E:4 435E608AAD0476CE74001D44AADA409C1AB:29 <-- FOUND! 29 people chose this one 437D7DF02F1A8E026DDDB4562408349F514:2 . . . . FDC80988BBAD077D55ECF2845A53BEA423A:1 FE2D8DFE4473E34DD26F3EBDFD69B49564F:2 FE89BBEC3DA79E0D8AECDF831876040B18F:6 FE970AFD7CB1B928119427AAFA4283EAF20:1 FFCBEE88564A963B41549D864A5D12F9B9C:2 $
Incluso puedes agregar un encabezado a la solicitud web para decir “rellenar el número de respuestas”, de modo que se incluyan entre 800 y 1000 hashes cada vez (algunos de ellos falsos), de modo que la longitud de la respuesta no identifique qué prefijo buscaste.
$ curl -H 'Add-Padding: true' https://api.pwnedpasswords.com/range/2B355 [. . . Your hash will definitely come back if it is present in the . . .] [. . . database, but there will be no predictable reply length from . . .] [. . . which an observer could infer which prefix you searched for. . . .]
Si no te sientes cómodo usando herramientas online de comandos como curl o wget, puedes simplemente pegar el enlace con el prefijo de 5 dígitos en tu navegador y luego buscar con Ctrl-F.
¿Qué más?
Y esto nos lleva al titular, justo aquí al final.
¡HIBP comenzará a recibir hashes de contraseñas para su base de datos de nada menos que del FBI!
Como explica el propio Hunt:
[Los investigadores del FBI] desempeñan un papel integral en la lucha contra todo, desde el ransomware hasta el abuso infantil y el terrorismo y, en el curso de sus investigaciones, se encuentran con frecuencia con contraseñas comprometidas. A menudo, estas contraseñas están siendo utilizadas por empresas delictivas para explotar los activos online de las personas que las crearon. ¿No sería fantástico si pudiéramos hacer algo significativo para combatir esto?
Y así, el FBI me contactó y comenzamos una discusión sobre cómo proporcionarles una vía para ingresar contraseñas comprometidas en HIBP y sacarlas a la luz a través de la función Pwned Passwords.
En otras palabras, si tu contraseña termina en manos de un ciberdelincuente de una manera que ni tu ni ninguno de tus proveedores de servicios probablemente lo hayan notado, es poco probable que recibas una notificación de infracción de advertencia sobre cualquier tipo de “compromiso”, pero ahora hay un lugar donde puedes verificar de forma segura si tu contraseña ha sido filtrada, incluso si no se puede estar seguro de cómo los ciberdelincuentes consiguieron esas contraseñas.
Dejar un comentario