2024 no está siendo un buen año para la seguridad informática y la privacidad de los usuarios. Los hackeos de considerable tamaño se cuentan por decenas y los nuevos casos brotan casi semanalmente. Ahora, pocos días después de conocer el ataque a Wise, se ha revelado una nueva filtración de contraseñas masiva. Esta no afecta a un servicio concreto, pero ha conseguido un hito que no va a gustar demasiado: es la más grande de toda la historia de Internet.
Todo empezó el pasado jueves 4 de julio cuando, en uno de los foros hacker más importantes del mundo, se descubría un archivo llamado «rockyou2024.txt» de considerable tamaño. En su interior estaba la filtración de contraseñas más relevante hasta la fecha.
Los usuarios que se atrevieron a descargarlo y echar un vistazo se toparon con total de 9.948.575.739 contraseñas filtradas. Sí, casi 10.000 millones de claves. Ahora, unos días después de su publicación, algunos investigadores han determinado que se trata de una recopilación de ataques antiguos y nuevos.
Pero, ¿qué contiene exactamente el archivo? Hasta donde podemos saber, quien lo descargue accederá a un listado en formato de texto plano con todas las contraseñas. No hay emails, nombres de usuario o servicios relacionadas: solo claves.
¿Para qué sirven 10.000 millones de contraseñas?
Ahora bien, probablemente pienses que no sirve de nada tener un archivo con contraseñas si estas no están relacionadas con un servicio y un nombre de usuario. Y lo cierto es, que este detalle resta importancia a la filtración, pero no hace que deje de ser algo realmente problemático.
La buena noticia es, que tu vecino no podrá descargarlo, buscar tus datos y acceder a los servicios que utilices. Es imposible relacionar alguna de estas contraseñas con usuarios concretos, por lo que su uso malicioso pierde sentido para los usuarios de a pie.
Por el contrario, los hackers se frotan las manos con una filtración de contraseñas como esta. ¿Por qué? Es posible utilizarla para realizar ataques de fuerza bruta, que utilizan sistemas de prueba y error hasta que dan con una clave válida.
El software y el equipo para este tipo de ataques está basado en la aleatoriedad, por lo que su eficiencia no suele ser digna de mención. Ahora bien, si pueden trabajar con una base de datos como rockyou2024.txt, todo cambia. Ya no es necesario recurrir a claves aleatorias y, aunque el número es gigantesco, un buen programa de fuerza bruta puede analizar este archivo con relativa soltura para relacionar claves con nombres de usuario.
¿Cómo funciona exactamente? Pongamos un ejemplo: imagina que el hacker pepito quiere acceder a tu cuenta de Netflix. Gracias a algún listado ha conseguido la cuenta de correo con la que tú inicias sesión, aunque todavía no sabe cuál es la contraseña. Descarga un programa de fuerza bruta, abre el listado rockyou2024.txt y lo pone a trabajar.
El software va probando inicios de sesión con tu correo electrónico y las contraseñas del archivo, por lo que si tu clave está en la filtración, es cuestión de tiempo que pueda acceder a tu cuenta de Netflix.
¿Cuánto tiempo? Para que te hagas una idea, un buen algoritmo de hashing con una GPU RTX3090 puede probar unos 6.000 millones de contraseñas por minuto. Es decir, que con una filtración así, un par de minutos serían suficientes para acertar la clave de acceso a un servicio cualquier de Internet.
¿Te afecta esta filtración de contraseñas?
Dada su magnitud, es bastante probable que sí. 10.000 millones de contraseñas son muchas claves filtradas, por lo que cabe la posibilidad de que gran parte de la población mundial tenga presencia —anónima, eso sí— en este archivo tan masivo.
Según los expertos, la filtración de contraseñas puede contener claves de hace 20 años, pero también algunas muy recientes extraídas de ataques como el de Ticketmaster, Santander o Snowflake. Por lo tanto, tus claves pueden estar expuestas en el archivo y que un hackeo por fuerza bruta permita el acceso a alguno de los servicios que utilizas en Internet.
¿Es recomendable cambiar de contraseña? Pues bien, al igual que es probable que tus contraseñas estén en este archivo, también es poco probable que alguien se centre en tu persona para realizar uno de estos ataques. Los accesos por fuerza bruta no son sencillos de ejecutar, por lo que no están al alcance de todo el mundo.
Dicho esto, aunque hay poca probabilidad de que alguien acceda a tu Gmail, Netflix o Amazon, las declaraciones de los expertos están apuntando a la recomendación de cambiar las contraseñas, sobre todo si se utiliza la misma para una gran cantidad de servicios.