Un paquete de 617 millones de cuentas robadas ha aparecido a la venta en un mercado clandestino de la Dark Web por un valor de 20.000 dólares en Bitcoin.
No es la primera vez que se vende en la Internet Oscura este tipo de datos, pero ésta es relevante por el número de cuentas y los distintos servicios involucrados: Dubsmash (162 millones), MyFitnessPal (151 millones), MyHeritage (92 millones), ShareThis (41 millones), HauteLook (28 millones), Animoto (25 millones), EyeEm (22 millones), 8fit (20 millones), Whitepages ( 18 millones), Fotolog (16 millones), 500px (15 millones), Armor Games (11 millones), BookMate (8 millones), CoffeeMeetsBagel (6 millones), Artsy (1 millón) y DataCamp (700,000).
La base de datos incluye nombres de usuario, contraseñas, direcciones de correo, ubicación, tokens de autenticación de redes sociales y otros datos personales. Según The Register, que ha tenido acceso al listado, las cuentas parecen legítimas, aunque no quieren decir que estén en uso.
Al menos no deberían, porque en muchos de los casos se trata de una compilación de cuentas robadas (seguramente sumando otras bases de datos más pequeñas) recopiladas de diferentes ataques informáticos a lo largo de los últimos años y se supone que las cuentas han sido reseteadas. No todas, porque algunos de los servicios citados podrían ser ciberataques no revelados y esas cuentas sí estarían actualmente en uso.
Por lo que comentan, no hay información de tarjetas de crédito y servicios de pago. Además, una parte de contraseñas están encriptadas y deben ser descifradas antes de poder usarlas. Algo que no será complicado en las que se procesaran usando algoritmos obsoletos como MD5.
Contactado por The Register, el vendedor dice tener a la venta otras bases de datos más pequeñas con destino principal a los que se dedican a envío de spam, malware y ataques ataques informáticos automatizados de relleno de credenciales. El caso sale a la luz un mes después de revelarse la segunda mayor fuga de datos de la historia con 773 millones de cuentas de correo.
Puedes comprobar si estás afectado por éste u otros casos de cuentas robadas en el sitio web Have I Been Pwned. Tanto si estás afectado como si no, este caso es un recordatorio de la necesidad de guardar a buen recaudo nuestros datos y seguir las reglas elementales para la creación de contraseñas.
No usar palabras típicas o números comunes
Combinar mayúsculas y minúsculas
Combinar números con letras
Añadir caracteres especiales
Alargar el término con el mayor número de dígitos
No utilizar la misma contraseña en todos los sitios
Especialmente, usar contraseñas específicas para banca y sitios de compra on-line
Mantener la contraseña a salvo de cualquier tercero
Valorar el uso de gestores de contraseñas
Reforzar el uso de contraseñas con otros sistemas, doble autenticación o sistemas biométricos
Por supuesto, también es necesario que los grandes servicios aseguren la seguridad de los datos de los clientes.