Los piratas informáticos están después de sus datos personales, con fines de lucro
Ethamphoto/Alamy
Asegúrese de usar una buena mezcla de personajes. Evite el nombre de su mascota. Sobre todo, nunca reutilice una contraseña. Todos conocemos las reglas para garantizar que las claves de nuestros reinos digitales sigan siendo seguros, y probablemente todos las rompamos, y es cuando los piratas informáticos barren para ganar dinero al vender sus datos.
Los mercados para los datos personales robados prosperan en el Dark Web, Sitios que se encuentran más allá de las fronteras de Internet regular y solo se puede acceder a través de software como Colinaque fue diseñado originalmente por agencias de inteligencia estadounidenses para comunicaciones encubiertas. No todo es nefasto: BBC News ejecuta un sitio web oscuro para personas que viven bajo vigilancia opresiva, por ejemplo, pero mucho lo es.
Para obtener más información, me volví hacia Rory Hattinghun hacker ético de una compañía llamada Evalian, que pasa su tiempo en las empresas, legalmente, para probar la seguridad. Me dice que hay una posibilidad “excepcionalmente pequeña” de que los piratas informáticos hayan filtrado ninguno de mis datos privados. He escrito sobre la tecnología durante el tiempo suficiente para comprender cuán frecuentes son las violaciones de datos, pero confrontar la cruda realidad de que esto me incluye es ciertamente una llamada de atención.
Hattingh comienza mostrándome un sitio web llamado He sido pwned (Un término de argot que significa que sus datos se han comprometido), que compila nombres de usuario y contraseñas compartidas en la web oscura en una única base de datos de búsqueda. Ingresé mi dirección de correo electrónico y, preocupante, descubrí que había sido atrapado en 29 ataques de piratería.
Lo más reciente sucedió en 2024, cuando el archivo de Internet fue atacado y mi correo electrónico y contraseña se filtraron. Mis datos también habían sido parte de 122 gigabytes de datos de usuarios raspados de miles de canales de telegrama, así como una base de datos llamada Naz.API que se publicó originalmente en un foro de hackers. Otros ataques enumerados incluyeron direcciones postales robadas, títulos de trabajo, números de teléfono, direcciones IP, sugerencias de contraseña y fechas de nacimiento desde servicios que incluyen Adobe, Dropbox y LinkedIn.
En teoría, estas filtraciones tienen un valor limitado: si LinkedIn, digamos, está pirateado y su nombre de usuario y contraseña se filtran, entonces eso no afecta su cuenta de Facebook. Eso es a menos que, por supuesto, sea uno de los más del 60 por ciento de las personas que usan el misma contraseña una y otra vez. En ese caso, los piratas informáticos pueden tomar estos detalles y saltar por Internet, usándolo en cualquier lugar donde puedan pensar, generalmente de una manera automatizada y rápida. Entonces, dice Hattingh, “estás en muchos problemas”.
Esto podría incluir compras en línea con sus detalles de pago almacenados, cuenta de PayPal o billeteras de criptomonedas. Obtener acceso a una cuenta también puede ayudar a ingresar a otros, siendo el correo electrónico el premio gordo. Una vez que pueda enviar y recibir correos electrónicos de una cuenta, puede restablecer contraseñas y dividir todo tipo de sitios web, sin mencionar las cuentas de facturación de hogares y tal vez incluso la banca en línea. Los piratas informáticos con acceso a las redes sociales o cuentas de correo electrónico también pueden intentar defraudar a amigos y familiares con historias falsas de emergencias que requieren una transferencia bancaria rápida. El hecho de que estos provengan de una cuenta real le da a estos trucos un aire de plausibilidad que puede ser suficiente para superar la sospecha hasta que sea demasiado tarde.
Para empeorar las cosas, aunque algunas compañías que sufren hacks son rápidas para informar a las personas e instarlas a cambiar sus contraseñas, otras pueden ser más lentas, dejando a las personas vulnerables durante meses o incluso años. Hattingh dice que en un trabajo anterior, para clientes no identificados, vería ataques de ransomware que iban y venían con poco pánico. Estos ataques ven los datos de la víctima encriptados y mantenidos al rescate, se vuelven inútiles a menos que le pague al hacker por la contraseña, pero cada vez más, algunas compañías solo ven esto como el costo de hacer negocios.
“Estas compañías serían pirateadas dos, tres veces al año”, dice Hattingh. “Tienen un fondo de granizado para cuando las cosas salen mal. Pagan y continúan con la vida. Y esto está sucediendo en todo el mundo, todo el tiempo”.
Por preocupante que fuera ver mis datos personales a la luz de esta manera, los registros de que he sido pwned son similares a la carne mecánicamente recuperada que puede encontrar en nuggets de pollo. Hattingh dice que el bistec premium de datos personales se produce cuando los piratas informáticos sofisticados primero violan un sitio web y roban un nuevo recorrido para vender a otros, que se benefician de explotarlo. Una vez que esos primeros compradores hayan extraído lo que pueden, los datos se venderán una y otra vez. Una vez que se han elegido los datos más rentables de los datos, el resto puede terminar siendo lanzado de forma gratuita en un foro de hackers, un canal de telegrama o en algún otro rincón oscuro de la web, donde he sido Pwned también lo recoge.
Al trabajar en la cadena alimentaria, Hattingh me mostró un servicio pagado llamado Dehashed que ofrece no solo una descripción amplia de violaciones como lo hace, sino también sus contenidos reales, incluidas las contraseñas. El nombre del servicio se refiere al proceso de seguridad común de “hashing”, o ocultando una contraseña para evitar que se copie. Dehashing, por supuesto, se quita esto. Lo que pensé que era el peor de los casos, pero ahora me doy cuenta de que en realidad es la norma, resulta ser cierto: al menos una de las contraseñas enumeradas junto con mi dirección de correo electrónico es familiar y actual. En teoría, no había habido nada para detener a los piratas informáticos, o cualquier persona con un interés pasajero, iniciar sesión en al menos una de mis cuentas en línea.
Dehashed es un servicio pagado, que cuesta $ 219.99 al año, que pretende ser para “agencias de aplicación de la ley y compañías Fortune 500”. Me puse en contacto con la compañía para preguntarle si les preocupa que su herramienta, que ciertamente solo recopila detalles filtrados en otro lugar, podría ser útil para hackers y trabajadores de seguridad. No recibí respuesta.
Decidí que tenía que profundizar en la red oscura. Hablé con Chauhan anish En Equilibrium Security Services, quien me mostró los resultados de una búsqueda realizada por el software a medida de su equipo, que se arrastra aún más amplio y profundo que las herramientas comerciales que había visto hasta ahora. Había encontrado 24 contraseñas vinculadas a mis cuentas en línea.
“Los usuarios podrían decir: ‘Tengo una contraseña de 200 caracteres, nadie va a la fuerza bruta eso'”, dice Chauhan. “Pero digamos que luego lo usan en cada sitio web que usan. Realmente lo hace irrelevante, porque eventualmente se violará. Como humanos, solo tomamos el camino de menor resistencia, ¿sabes?”
Chauhan dice que la solución es relativamente simple y que todos la hemos escuchado antes: use una contraseña diferente para cada cuenta. Habiendo visto cómo se han compartido ampliamente mis datos, queda muy claro por qué esto es importante.
La cuestión es que las herramientas para facilitar esto ya están allí: la mayoría de los dispositivos modernos y los navegadores de Internet deben venir con un administrador de contraseñas que genere contraseñas seguras aleatorias y las recuerde a todos por usted. Si le preocupa que sus contraseñas ya se hayan filtrado, podría valer la pena ver si he sido presentado o pagado por servicios más extensos que recorren las nefastos regiones de Internet para obtener evidencia de una fuga.
En los últimos años, he usado un administrador de contraseñas para generar contraseñas seguras y organizarlas para mí, pero me doy cuenta de que algunos servicios que he usado durante mucho tiempo se ha permitido que se hayan resistido con inicios de sesión antiguos y pirateados. Paso una noche rectificando eso, sobre todo porque quiero estar preparado antes de publicar este artículo.
Pero no me estoy golpeando demasiado. Enfrentados con interminables demandas para encontrar nuevos detalles de inicio de sesión, no es de extrañar que a veces tomemos la salida fácil. Ciertamente no estoy solo al hacerlo.
“Soy una persona conocedora de tecnología, y apenas cambio mis contraseñas”, dice Hattingh. “Para el trabajo, lo cambio, pero en mi vida personal, soy un poco más flojo”.
Temas: