Mis datos aparecen en Collection #1. ¿Qué puedo hacer?

17 Ene 2019

El experto en seguridad y privacidad Troy Hunt ha publicado un artículo en su blog sobre el famoso Collection #1, una base de datos que navega por la red con más de 700 millones de direcciones de correo electrónico únicas y más de 1.100 millones de credenciales únicas. Te explicamos en qué podría afectarte y qué puedes hacer al respecto.

Las filtraciones y fugas de datos son reales y a veces suceden a gran escala. Los ciberdelincuentes recopilan información filtrada, creando bases de datos con contraseñas y usuarios. Algunos intentan añadir información de cada fuga a estas bases de datos, lo que genera bases de datos gigantescas como Collection #1, analizada por Troy Hunt.

No se trata simplemente de una fuga masiva (como la que sucedió con Yahoo! con millones de credenciales de usuario robadas), sino de una colección que recopila información de más de 2000 filtraciones diferentes, algunas de ellas incluso del 2008, mientras que otras son más recientes.

Sorprendentemente, Collection #1 no parece incluir los usuarios y contraseñas de filtraciones famosas como las de LinkedIn y Yahoo en 2012 (aquí te presentamos un artículo sobre la primera fuga de Yahoo y otro sobre la segunda).

¿Cómo puedo descubrir si aparezco en Collection #1?

Para saber si alguna de tus credenciales se encuentra en la base de datos, puedes utilizar haveibeenpwned.com. Introduce la dirección de correo electrónico a las que están asociadas tus cuentas y podrás ver si tu dirección está incluida en alguna de las bases de datos filtradas de las cuales haveibeenpwned.com es consciente.

Si tu correo electrónico forma parte de Collection #1, habrá una entrada sobre esto en haveibeenpwned. Si no está ahí, tienes suerte, no tienes que hacer nada más. ¿Aparece? Empieza lo complicado.

¿Qué tengo que hacer si aparece mi cuenta en la base de datos Collection #1?

Si aparece tu dirección de correo electrónico, es una señal de que tienes que hacer algo. No obstante, el servicio no te dirá cuáles de tus cuentas asociadas a este correo ha sufrido la brecha. ¿Se trata de una cuenta de un foro de criptomonedas, de una biblioteca online o de una comunidad de amantes de los gatos? Dicho esto, tienes dos opciones, dependiendo de si has estado usando una misma contraseña para múltiples servicios o no.

Opción 1: has usado una contraseña para múltiples cuentas asociadas a esta dirección de correo electrónico. Se ha complicado la cosa… Para garantizar tu seguridad, tendrás que acceder a todas estas cuentas y cambiar las contraseñas una por una. No te olvides de que tienen que ser largas y únicas. Si estás acostumbrado a memorizar una única contraseña, seguramente te resulte imposible memorizar unas nuevas, por lo que sería una buena idea que utilizaras un gestor de contraseñas.

Opción 2: Usaste contraseñas únicas para cada cuenta asociada a esta dirección de correo electrónico. Buenas noticias, va a ser mucho más fácil. Evidentemente, puedes cambiar todas tus contraseñas, pero no tienes por qué hacerlo. También puedes intentar descubrir qué contraseñas han estado expuestas a la fuga con otra función de haveibeenpwned llamada Pwned Passwords.

Entonces, podrás introducir una contraseña de una de tus cuentas y comprobar si se encuentra en la base de datos de contraseñas filtradas de haveibeenpwned, ya sea en texto plano o en hash. Si ves que esta u otra contraseña ha navegado por haveibeenpwned al menos una vez, es mejor que la cambies. Si no, estás a salvo. Puedes probar con otra contraseña.

Por supuesto, si haces eso, estás confiando en haveibeenpwned y no tendrías por qué. Por ello, podrías pegar un hash SHA-1 de tu contraseña y te dará el mismo resultado que pegar la propia contraseña. Hay varios recursos online que generan hash SHA-1 de cualquier información que introduzcas (aquí tienes, ya hice la búsqueda por ti). De esta forma, no expones tu contraseña a haveibeenpwned, por lo que no tienes por qué entrar en pánico.

Consejos para mantenerte al margen de la mayoría de las filtraciones de datos

Hemos presenciado numerosas fugas en los últimos años y podemos afirmar que van a suceder muchas más en el futuro. Por ello, seguirán surgiendo nuevas bases de datos como Collection #1 de vez en cuando y los ciberdelincuentes las usarán para acceder a las cuentas del resto de usuarios. Para minimizar los riesgos, te recomiendo que sigas los siguientes pasos:

  • Utiliza contraseñas largas y únicas para cada una de las cuentas. De esta forma, si un servicio sufre una filtración de datos, solo tendrás que cambiar una.
  • Activa la autentificación de doble factor siempre que sea posible. No permitirá que los ciberdelicnuentes accedan a tu cuenta, aunque consigan tu usuario y contraseña.
  • Utiliza soluciones de seguridad como Kaspersky Security Cloud que te avisarán de las brechas más recientes.
  • Usa un gestor de contraseñas que te ayude a generar contraseñas únicas y seguras sin necesidad de memorizarlas. También te ayudarán a cambiarlas rápidamente cuando te haga falta. Kaspersky Password Manager realiza ambas tareas perfectamente por ti