El año 2024 no está resultando favorable para la seguridad informática en contraseñas y la privacidad de los usuarios. Se han producido numerosos hackeos de gran envergadura, y los nuevos incidentes se reportan casi cada semana. Recientemente, después de conocerse el ataque a Wise, se ha revelado una nueva filtración masiva de contraseñas. Aunque esta filtración no está asociada a un servicio específico, ha logrado un récord que no será bien recibido: es la más grande en la historia de Internet.
1Acaba de ocurrir la mayor filtración de contraseñas de la historia
Todo comenzó el pasado jueves 4 de julio, cuando en uno de los foros hacker más prominentes del mundo se descubrió un archivo llamado «rockyou2024.txt» de gran tamaño. Este archivo contenía la filtración de contraseñas más significativa hasta la fecha.
Los usuarios que se animaron a descargarlo y examinarlo encontraron un total de 9.948.575.739 contraseñas filtradas. Sí, casi 10.000 millones de claves. Ahora, unos días después de su publicación, algunos investigadores han concluido que se trata de una recopilación de ataques tanto antiguos como recientes.
Pero, ¿qué incluye exactamente el archivo? Según lo que se sabe hasta ahora, quienes lo descarguen accederán a un listado en formato de texto plano con todas las contraseñas. No hay correos electrónicos, nombres de usuario ni servicios relacionados: solo claves.
Ahora bien, es posible que pienses que tener un archivo de contraseñas sin estar vinculadas a un servicio y nombre de usuario no tiene utilidad. Es cierto que este detalle reduce la relevancia de la filtración, pero aún así representa un problema significativo.
La buena noticia es que tu vecino no podrá descargar este archivo, buscar tus datos y acceder a los servicios que utilizas. No se puede asociar ninguna de estas contraseñas con usuarios específicos, lo que reduce el riesgo de un uso malintencionado para usuarios comunes.
Sin embargo, los hackers ven con entusiasmo una filtración de contraseñas como esta. ¿Por qué? Porque pueden utilizarla para llevar a cabo ataques de fuerza bruta, que consisten en probar sistemáticamente combinaciones hasta encontrar una clave válida.
El software utilizado para estos ataques se basa en la aleatoriedad y, por lo general, su eficacia no es notable. Pero, cuando tienen acceso a una base de datos como rockyou2024.txt, la dinámica cambia por completo. Ya no es necesario generar contraseñas aleatorias, y aunque el número de claves es enorme, un programa de fuerza bruta bien configurado puede analizar este archivo con relativa rapidez para relacionar las claves con nombres de usuario.
¿Cómo funciona en la práctica? Imagina que un hacker, como Pepito, desea acceder a tu cuenta de Netflix. Si ha conseguido tu dirección de correo electrónico gracias a alguna lista, pero aún no conoce tu contraseña, descargará un programa de fuerza bruta y abrirá el archivo rockyou2024.txt para ponerlo a trabajar.
El software probará diferentes combinaciones de tu dirección de correo y las contraseñas del archivo. Si tu contraseña está entre las filtradas, es solo cuestión de tiempo hasta que pueda acceder exitosamente a tu cuenta de Netflix.