Luego de que a mediados de enero saliera a la luz que cerca de 773 millones de direcciones de correo únicas y más de 20 millones de contraseñas habían sido filtradas como parte de un paquete denominado Collection#1 a través de MEGA y distintos foros, a fines de la semana pasada se conoció que se filtraron cuatro carpetas más que forman parte de la misma recopilación de nombres de usuario, direcciones y contraseñas (entre otros) que en total pesan 993.36GB.
Estas últimas cuatro carpetas que se filtraron llevan el nombre de Collection#2, Collection#3, Collection#4, Collection#5, aseguró, entre otros, Bryan Krebs. En la siguiente imagen, extraída de uno de los foros donde se ofrecía la lista completa, se puede apreciar cómo habían sido nombradas cada una y su respectivo peso.
Si bien esta recopilación de credenciales está compuesta por datos que fueron filtrados en antiguas brechas, se cree que algunas cuentas son de brechas recientes, lo cual supone un riesgo para aquellos usuarios cuyas credenciales hayan sido filtradas en estos casos.
De acuerdo a una investigación realizada por el instituto Hasso Plattner, ubicado en Potsdam, Alemania, el paquete completo de todas las carpetas (desde la #1 a la #5) suman un total de 2.200 millones de registros. Según dijo a Wired el investigador en seguridad Chris Rouland, “se trata de la colección de brechas más grande que se haya visto”.
Por otro lado, es importante mencionar que el instituto Hasso Plattner ofrece un servicio similar al de Have I Been Pwned en el que los usuarios pueden corroborar si sus datos formaron parte de esta gran filtración o no. Este servicio, llamado Identity Leak Checker, cuenta en su base con todos los nombres de usuario, direcciones y contraseñas que forman parte de las cinco carpetas, además de otros registros provenientes de otras filtraciones.
Como se puede apreciar en la imagen a continuación, además de nombres de usuario y contraseña, la herramienta también muestra si otros datos sensibles fueron expuestos en alguna brecha, como detalles de cuenta bancaria, fecha de nacimiento, número de teléfono, entre otros.
Esta recopilación ha estado circulando en sitios clandestinos, donde a través de torrents se ofrece la posibilidad de obtener esta larga lista de credenciales. Según explicó Rouland a Wired, en su caso, según el archivo que el obtuvo para descargar la lista, cerca de 130 equipos ya tenían la lista en su poder y estaban funcionando como “seed” para que otros más puedan tener acceso a la colección.
Un atacante con esta lista en su poder puede llevar adelante un ataque de credential stuffing, como le sucedió recientemente a Dailymotion. Por eso es que los usuarios deben corroborar si la contraseña que utilizan fue filtrada en una brecha. Para esto, además de verificar en Have I Been Pwned y en Identity Leak Checker, también puedes probar en HackNotice. El paso siguiente es actualizar tus claves y elegir contraseñas nuevas y más seguras para cada servicio que utilices, dejando de esta manera de reutilizar la misma contraseña en más de un servicio. Por último, recomendamos activar el doble factor de autenticación en todos los servicios que ofrezcan esta posibilidad. Al hacerlo, estamos añadiendo una capa más de seguridad a nuestras cuentas.