La reciente filtración masiva de contraseñas y correos electrónicos ha puesto en alerta al mundo digital. Más de mil millones de credenciales únicas acaban de añadirse a la base de datos de Have I Been Pwned, la plataforma creada por el experto de ciberseguridad Troy Hunt, en donde cualquier usuario puede comprobar si sus datos han sido expuestos.
Este nuevo lote de información incluye 2000 millones de direcciones de correo electrónico y 1300 millones de contraseñas únicas, las cuales han sido recopiladas por la firma de seguridad Synthient. Estos datos obtenidos de listas filtradas y foros en línea, provienen de credenciales robadas mediante programas Infostealer y compartidas en grupos de Telegram.
Relacionado / 8 de cada 10 filtraciones de datos es por error humano
Cómo saber si tu contraseña fue filtrada
Cabe mencionar que el propio Troy Hunt verificó la autenticidad de los datos antes de incorporarlos en la base de datos de la herramienta Have I Been Pwned. En su blog ha explicado que, al buscar su propio nombre, encontró una vieja dirección de correo electrónico de los años 90 junto a contraseñas que él mismo había utilizado. Posteriormente a esta verificación, pidió ayuda a algunos de sus suscriptores de su lista de correos para comprobar si sus credenciales también aparecían en la reciente filtración.
Algunos encontraron contraseñas antiguas que ya no utilizaban, mientras que otros descubrieron datos de acceso actuales a sus cuentas, detalló Hunt.
La verificación reveló que la colección incluía tanto información antigua como reciente. Este tipo de filtraciones sigue siendo peligrosa porque los atacantes usan un método conocido como relleno de credenciales (credential stuffing), en el que prueban combinaciones filtradas de correos y contraseñas hasta conseguir el acceso. Si una persona reutiliza la misma contraseña para varios sitios, el riesgo se multiplica peligrosamente.
Qué puedes hacer para proteger tus cuentas
En repuesta, Hunt ha añadido todas las contraseñas a su servicio Pwned Passwords, se trata de una base de datos en donde los usuarios pueden comprobar si una contraseña en concreto ha sido comprometida, sin vincularla a tu correo electrónico.
Si tienes una contraseña como ‘Fido123!’ y descubres que ya se ha filtrado, da igual si fue con tu dirección o con la de otra persona: sigue siendo una contraseña mala, señaló Hunt.
El experto recomienda usar contraseñas únicas y complejas, cambiar las antiguas y evitar patrones predecibles. Además, sugiere habilitar siempre la autenticación en dos pasos (2FA) para añadir una capa extra de seguridad. Incluso, si una dirección o contraseña antigua aparece en la lista, es vital revisar también las cuentas que no se usan con frecuencia: los ciberdelincuentes pueden aprovechar cualquier punto débil.
Por qué deberías comprobar tus credenciales ahora
El sitio Have I Been Pwned se ha convertido e una herramienta esencial para los usuarios preocupados por su seguridad digita. En cuestión de segundos puedes introducir tu correo electrónico o una contraseña para saber si han aparecido en alguna brecha de seguridad conocida hasta la fecha.
Finalmente, la reciente filtración demuestra que la antigüedad de los datos no garantiza seguridad: incluso credenciales de hace años pueden ser reutilizadas por los atacantes si los usuarios siguen sin actualizarlas. La clave está en la prevención, la vigilancia y la rotación constante de contraseñas, siempre será la mejor defensa ante este tipo de ataques.