Si estás leyendo este post es porque te has enterado de la mayor brecha de seguridad de la historia: Collection#1. Se han hecho públicas unas 773 millones de cuentas de correo electrónico con sus respectivas contraseñas (21 millones de contraseñas). Estás viendo bien los números, unas 40 personas usan la misma contraseña que tú.
Los expertos avisaban desde hace tiempo de que esto podía ocurrir. De momento nadie sabe quién está detrás de la filtración de estos datos publicados en MEGA. Pero lo cierto es que esta filtración es el acumulado de varias filtraciones previas.
Cómo comprobar si tus datos están en Collection#1
Para comprobarlo tienes una web creada por el experto de ciberseguridad Troy Hunt. Have I been pwned! permite saber si nuestra cuenta de correo electrónico ha estado expuesta en algún momento en este tipo de filtraciones. Haz clic en este botón y sigue los pasos para comprobar si los datos de tu cuenta han sido filtrados.
Como se suele decir en casa del herrero cuchillo de palo, en esta imagen podéis comprobar que mi dirección ha estado filtrada en algún momento.
En tres momentos concretamente, incluyendo Collection#1:
Oh no – pwned!
¿Significa eso que mi actual contraseña está en esa lista? Os voy a contestar a la gallega: Pues puede que sí o puede que no. Es decir, es posible que esos datos sean antiguos y no debamos preocuparnos. Recordad que Collection#1 es el acumulado de varias filtraciones previas.
Mi email está en Collection#1 ¿Qué hago ahora?
Como no sabemos si los datos filtrados son los actuales, lo primero que te recomiendo: cambia tu contraseña de forma inmediata. Sobre todo en todos los servicios que tengan datos personales o financieros (correo, redes sociales, webs de compras tipo eBay, Amazon, etc..). Prioriza aquellas que puedan tener datos financieros (como tarjetas de crédito o cuentas bancarias) y especialmente aquellas en las que hayas reutilizado tu contraseña.
Lo habitual después de este tipo de data breach donde tu correo está comprometido es que empiecen a llegarte correos sospechosos intentando hacer phishing: correos extraños, correos no esperados desde personas desconocidas o bien correos de familiares o amigos que contactan contigo de forma inesperada.
1. Selecciona una contraseña robusta
Lo que es más: selecciona una contraseña robusta, no pongas tu fecha de nacimiento, ni tu DNI, nombre o composición de tu nombre y apellido con números. Puedes poner algo así como: MeGustaMuchoJugarAlFutbol_11. Es decir, mezcla letras, números y caracteres no alfanuméricos. Cambia tus passwords a menudo, no las reutilices en varios sitios, ya que esto es lo que aprovechan los malos para entrar en tu cuenta de Gmail con la filtración de tus claves en LinkedIn por ejemplo
2. Utiliza un gestor de contraseñas
Y una recomendación final: utiliza un gestor de passwords como LastPass o 1Password. Estos gestores permiten almacenar todas tus passwords de forma segura, te generan passwords complejas y te notifican en caso de que alguna de tus passwords pueda estar insegura. El acceso a este gestor es con una única contraseña que está encriptada múltiples veces y es virtualmente imposible de hackear.
¿Cómo me puedo proteger aún más?
Si tienes una cuenta de Gmail puedes activar la autenticación en 2 pasos (2FA). De esta forma, aunque te roben tu contraseña no será posible logarse en tu cuenta de correo electrónico si el cracker (hacker malo) no tiene tu teléfono móvil en la mano.
La verificación en 2 pasos funciona de la siguiente forma: cuando te intentas logar al correo desde un dispositivo/navegador que no está previamente reconocido te saldrá en el navegador este mensaje:
Al mismo tiempo te llegará un mensaje de Google al número de teléfono que tengas asociado para confirmar si eres tú la persona que está intentando acceder a la cuenta de correo:
Si te llega este mensaje de al móvil y no has sido tú la persona que ha intentado entrar al correo alguien tiene tus credenciales actuales 🙁
Configurando los avisos de seguridad de Google
En el caso de Google se puede parametrizar el tipo de avisos y restringir el acceso a tu cuenta de correo desde terminales/navegadores previamente autorizados:
Y se pueden ampliar las formas de proteger tu cuenta de correo para conseguir recuperar tu cuenta en el caso de haber sido robada:
Protegiendo a tu empresa
Es muy importante que entiendas que nunca, nunca, nunca debes usar tu cuenta de correo corporativa para registrarte en webs de terceros a menos que sea estrictamente necesario. En el caso de que tu cuenta de correo esté comprometida pondrías en riesgo a la empresa para la que trabajas y perjudicarías a la reputación de tu empresa.
Ya sabéis amig@s seguid estas pautas: cambiad vuestra contraseña a una robusta, no la reutilicéis y cambiadla a menudo y finalmente protegeos de imprevistos con la verificación en 2 pasos. Hasta el próximo post!
Joan Rodríguez
Santander Global T&O
Soy Ingeniero superior informático y he tenido la gran oportunidad de trabajar en todos los perfiles de desarrollo Waterfall o Agile: Desarrollador, Arquitecto SW, Evangelista del SW, Scrum master, Jefe de proyecto, Team leader, QA tester y Product owner. Me considero una persona inquieta, resiliente, friki y sobre todo muy volcado con mi familia. Ahora estoy haciendo desarrollos de ciberseguridad para el Grupo Santander.
