Como usar Have I Been Pwned para protexer as túas contas?

Hoxe vivimos rodeados de contas en liña: correo electrónico, redes sociais, banca, compras, foros… e en todas elas usamos contrasinais e datos persoais que poden acabar sendo filtrados en mans de ciberdelincuentes. Mesmo facendo todo o posible para protexernos, as violacións de seguridade nas empresas e servizos son cada vez máis comúns, e é doado que a nosa información acabe circulando en liña sen que nos decatemos.

Neste contexto, parece Fun enganado/a (HIBP)?, un sitio web coñecido no sector da ciberseguridade que permite comprobar se apareceu un correo electrónico, número de teléfono ou contrasinal nunha filtración de datosNon é maxia nin un antivirus, senón unha enorme base de datos de filtracións públicas que podemos consultar para saber se nos tocou a lotaría, pero as malas.

Que é exactamente "Have I been Pwned"?

Have I Been Pwned é un proxecto creado en 2013 por Troy Hunt, un recoñecido experto en seguridade informáticaO seu obxectivo é recoller centralmente as bases de datos que se filtran cando unha empresa sofre un ataque e expoñelas de forma controlada para que calquera poida comprobar se as súas credenciais forman parte desas filtracións.

Esta xigantesca base de datos almacena enderezos de correo electrónico, contrasinais (en formato hash), nomes de usuario, números de teléfono e outros datos Estas filtracións prodúcense despois de ataques a servizos tan variados como redes sociais, foros, plataformas de streaming, tendas en liña e mesmo sitios web para adultos. Cando un destes sitios é pirateado e a súa información se publica, HIBP indexao e asóciao coa violación específica: de que servizo se trataba, que día se fixo pública, que tipo de datos foron afectados e cantas contas inclúe.

Se nos centramos só nos puntos clave, a análise dos seus datos revela que HIBP almacena aproximadamente 931 millóns de contrasinais diferentesNon obstante, parece que eses contrasinais están asociados a máis de 6.930 millóns de credenciais filtradas. É dicir, de media, a mesma combinación de nome de usuario e contrasinal úsase en polo menos dous servizos diferentes, algo extremadamente vantaxoso para os atacantes.

Outro feito rechamante é que Só arredor do 6 % dos contrasinais expostos parecen terse xerado mediante xestores de contrasinais. (claves complexas e únicas). O resto repítense masivamente, son simples ou seguen patróns moi predicibles. Exemplos típicos son «123456» ou «contrasinal», presentes en millóns de contas e que os atacantes sempre intentan primeiro.

Como me enganaron funciona no interior

O funcionamento básico de HIBP é bastante sinxelo para o usuario, aínda que emprega técnicas avanzadas entre bastidores. En termos xerais, o sitio web Mantén unha enorme lista de correos electrónicos, números de teléfono e hashes de contrasinais expostos.Cando fas unha busca, compara os teus datos con esa lista e indícache se aparecen nalgunha filtración coñecida.

Para correos electrónicos e teléfonos, o sistema é sinxelo: Introduces os datos e o servizo devolve os ocos onde se atoparonVerás o nome do sitio afectado, a data aproximada da violación, o tipo de información que se filtrou (correo electrónico, contrasinal, IP, preguntas de seguridade, etc.) e un breve resumo.

No caso dos contrasinais, as cousas complícanse máis, porque sería un erro de seguridade enviar o contrasinal tal cal a un servidor externo. Para solucionar isto, HIBP usa un mecanismo chamado k-anonimato o que che permite comprobar se o teu contrasinal foi filtrado sen expoñelo completamente ao servizo.

O proceso funciona así: o teu navegador calcula o Hash SHA-1 do teu contrasinal (unha representación irreversible) e só envía os primeiros 5 caracteres dese hash á API de HIBP. O servidor responde cunha lista de posibles sufixos e o número de veces que aparece cada hash nas filtracións. O teu navegador, localmente, compara o resto do hash con esa lista e determina se o teu contrasinal coincide con algún dos da lista. HIBP nunca ve o contrasinal en texto sen formato nin o hash completo.

Grazas a este modelo, a privacidade está bastante ben protexida: O teu contrasinal non se almacena, nin o teu enderezo IP está vinculado ao hash específico que estás a consultar.e só se manexa unha parte da información necesaria para realizar a verificación.

Pasos para usar Have I Been Pwned co teu correo electrónico ou teléfono?

Usar HIBP para saber se o teu enderezo de correo electrónico ou número de teléfono foi filtrado é... moi doado E non precisas ser un gurú da informática. Os pasos son os seguintes:

1. Visita o sitio web oficial Accede ao servizo introducindo https://haveibeenpwned.com no teu navegador. Asegúrate de que a conexión estea cifrada (https) e de que o URL sexa correcto para evitar páxinas falsas que suplanten o servizo.
2. Introduce o teu enderezo de correo electrónico ou número de teléfono (neste último caso, co prefixo internacional axeitado) no campo de busca.
3. 3. Preme o botón «Pwned?» (ou «¿Pwned?»)En poucos segundos, o sitio web buscará na súa base de datos e mostrará o resultado cunha mensaxe clara e visual: se o teu correo electrónico non se atopa en ningunha brecha, verás unha mensaxe tranquilizadora en verde; se aparece en filtracións, a mensaxe aparecerá en vermello xunto coa lista de servizos comprometidos.

Xunto a cada filtro atoparás información útil: nome do servizo, data da violación, tipo de datos expostos (só correos electrónicos, correos electrónicos e contrasinais, enderezos IP, números de teléfono, etc.) e unha breve descrición do incidente. Deste xeito, podes identificar que contas deberían preocuparte máis e cales requiren unha acción inmediata.

Ademais da función de consulta única, HIBP ofrece a posibilidade de Rexístrate co teu correo electrónico para recibir notificacións cando ese correo apareza en novas filtraciónsDeste xeito, non tes que comprobalo todas as semanas: se o teu enderezo se ve afectado por outra violación no futuro, recibirás unha alerta por correo electrónico para que poidas tomar medidas canto antes.

Como usar a sección de contrasinais de Have I Been Pwned?

Outra característica moi interesante de HIBP é que permite comprobar se un contrasinal específico xa forma parte dalgunha base de datos filtradaNota: Isto non serve para descubrir os contrasinais doutras persoas, senón para comprobar se o teu é un dos miles de millóns que xa circulan por Internet.

Para usalo, vai ao sitio web e, no menú superior, selecciona a opción "Contrasinais"Abrirase unha páxina cun campo onde podes introducir o contrasinal que queres analizar. Como xa mencionamos, o sistema non envía o contrasinal tal cal, senón só unha parte do hash, grazas ao método k-anonimato.

Introduces o contrasinal, premes o botón "Pwned?" e nun instante verás se funciona. Ese contrasinal xa foi visto nunha filtración de datos.Se aparece, a páxina tamén che indica cantas veces se atopou nas bases de datos compiladas por HIBP. Por exemplo, un contrasinal ridiculamente inseguro como "123456" aparece decenas de millóns de veces, o que deixa claro que nunca debes usalo.

Se o contrasinal non aparece na lista, mostrarase unha mensaxe verde que indicará que Esa combinación específica non se atopa nas filtracións coñecidasIso non significa que sexa indescifrable ou perfecto, só que non está nos dicionarios empregados polos atacantes baseándose en bases de datos roubadas.

Aínda que o sitio web poida ser tentador para "probar" os teus contrasinais importantes, o máis sensato é usalo para comprobar patróns de claves ou contrasinais antigas que sospeitas que poden estar comprometidasPara os teus contrasinais críticos (banco, correo electrónico principal, etc.), é mellor confiar en xestores de contrasinais que xa integren de forma segura este tipo de comprobacións.

Seguridade e privacidade: É fiable Have I Been Pwned?

Unha pregunta moi común é se é unha boa idea introducir datos persoais neste tipo de servizos. Despois de todo, estamos a falar de correos electrónicos, números de teléfono ou mesmo contrasinaisPolo tanto, a preocupación é totalmente lóxica.

No caso do HIBP, temos varias garantías importantes. Para comezar, O proxecto está apoiado por Troy Hunt[Nome], unha figura moi recoñecida no mundo da ciberseguridade, leva operando desde 2013 e millóns de usuarios e organizacións consultándoa a diario. A súa reputación baséase precisamente en facer as cousas ben e con transparencia.

En canto aos aspectos técnicos, o servizo Emprega conexións cifradas (https) e, na parte do contrasinal, só recibe un fragmento do hash SHA-1.Non a clave de texto plano nin o hash completo. Esta estratexia de k-anonimato reduce en gran medida o risco de que alguén poida reconstruír o teu contrasinal a partir de consultas da API.

En canto aos correos electrónicos, a plataforma indica que Non almacena buscas individuais de usuarios nin as vincula a datos persoais adicionais.Ademais, ofrece funcións opcionais para que poidas evitar que outros usuarios comproben o teu enderezo no sitio (opción de exclusión voluntaria) ou mesmo eliminar completamente o teu correo electrónico da base de datos pública.

Non obstante, é importante entender que o feito de que un contrasinal "supere" a verificación e non pareza filtrado non significa que sexa válido. Isto non implica que o contrasinal sexa seguro por deseño.Simplemente non está nas bases de datos recompiladas. Un contrasinal curto, sinxelo ou persoal seguirá sendo incorrecto mesmo se non aparece na lista de HIBP.

Que facer se "Have I Been Pwned" mostra que os teus datos foron filtrados?

Cando HIBP confirma que un correo electrónico ou un contrasinal forman parte dunha filtración de datos, non é hora de entrar en pánico, senón de actuar con rapidez e sensatezCanto antes elimines o problema, menos espazo terán os atacantes para causar dano.

O primeiro paso é tan obvio como urxente: Cambia o contrasinal da conta afectada inmediatamente.Non esperes a que alguén intente iniciar sesión; asume que o contrasinal antigo xa non é seguro. Crea un contrasinal completamente novo, un que non reutilizaches para ningún outro servizo, cunha mestura de maiúsculas e minúsculas, números e símbolos.

A continuación, é hora de lembrar: Usaches ese mesmo contrasinal noutros sitios? Se a resposta é afirmativa, terás que cambiala para todos eles. O exemplo clásico é usar o mesmo contrasinal para Facebook, Gmail e a banca en liña; se só se filtra un, un atacante probaráo en todas partes.

Como segunda capa de defensa, active o autenticación en dous pasos (2FA)Deste xeito, mesmo se alguén coñece o teu contrasinal, necesitará un código adicional enviado por SMS, correo electrónico ou xerado por unha aplicación de autenticación para iniciar sesión. O ideal é usar aplicacións como Authy, Google Authenticator ou similares, xa que as mensaxes SMS tamén poden ser vulnerables en determinadas situacións.

Ademais, é aconsellable revisar con calma o historial de actividade da conta (Se o servizo o ofrece): inicios de sesión recentes, cambios de configuración, dispositivos vinculados, etc. Se observas algo inusual, pecha todas as sesións abertas, cambia de novo o contrasinal e, se é necesario, ponte en contacto co soporte técnico do servizo afectado.

Xestores de contrasinais e autenticación multifactor

Para facer todo isto máis soportable, o máis sensato hoxe en día é usar un xestor de contrasinaisTrátase de aplicacións ou servizos que almacenan todos os teus contrasinais de forma cifrada, protexidos por un contrasinal mestre que é o único que debes lembrar. A cambio, podes usar contrasinais longos e únicos en cada sitio web sen ter que memorizalos.

Os xestores adoitan incluír funcións para xeración automática de contrasinais fortesA función de autocompletar en navegadores e dispositivos móbiles, a sincronización entre dispositivos e, en moitos casos, a comprobación automática de fugas (que a miúdo tamén se basea en datos de HIBP) permítenche ver dunha ollada que contas necesitan unha actualización urxente.

Combinado con isto, o autenticación de dous factores Ofrece unha capa de protección adicional moi útil. Aínda que algúns servizos aínda ofrecen verificación por SMS, é mellor confiar en aplicacións de autenticación ou, se é posible, en claves de seguridade físicas ou contrasinais, que son cada vez máis populares como unha alternativa máis segura aos contrasinais tradicionais.

A nivel técnico, mesmo as organizacións e os provedores de infraestruturas están a integrar datos HIBP de xeitos máis avanzados. Por exemplo, empresas como Fastly demostraron métodos para Detectar contrasinais expostas directamente no perímetro, almacenando versións altamente comprimidas dos hashes (usando filtros probabilísticos como BinaryFuse8) no seu almacén KV para comprobalos con baixa latencia e sen depender constantemente da API HIBP.

Estes filtros permiten a identificación de contrasinais filtradas sen falsos negativos (detéctanse todos os contrasinais comprometidos), a custo dunha pequena porcentaxe de falsos positivos, e reducen o tamaño do conxunto de datos orixinal de aproximadamente 40 GB de texto sen comprimir a pouco máis de 1 GB de estruturas optimizadas, o que fai posible... Bloquear ou sinalar contrasinais inseguras en tempo real durante o rexistro ou o inicio de sesión.

Máis alá dos contrasinais: hábitos básicos de ciberseguridade

Aínda que os contrasinais son o aspecto máis obvio, a seguridade en liña vai moito máis alá diso. É aconsellable adoptar... hábitos xerais de ciberseguridade para minimizar o risco de converterse en vítima de filtracións, software malicioso ou phishing.

• Manteña sempre actualizados o seu sistema operativo, navegador, aplicacións e complementos.Moitos ataques explotan vulnerabilidades coñecidas para as que xa existen parches, pero que os usuarios non instalaron debido a neglixencia.
• Usar un antivirus e un firewall configurado correctamenteespecialmente en ordenadores de sobremesa e portátiles. Non son unha barreira absoluta, pero proporcionan unha capa adicional que pode detectar e bloquear as ameazas comúns antes de que poidan causar danos.
• Vaia con coidado cno ligazóns e anexos sospeitososOs correos electrónicos de phishing, as mensaxes maliciosas das redes sociais ou as mensaxes SMS poden tentar suplantar a identidade do teu banco, provedor de correo electrónico ou unha tenda coñecida para roubar as túas credenciais ou instalar software malicioso. Comproba sempre o enderezo real do remitente, ten coidado coas mensaxes que parecen precipitadas e non introduzas a túa información en sitios web dos que non esteas seguro de que sexan lexítimos.
• Evita conectarte desde redes wifi públicas (cafeterías, aeroportos, hoteis, etc.). E se o fas, considera usar un VPN de confianza. Especialmente cando se manexa información confidencial, como a banca en liña ou datos relacionados co traballo. Isto impide que alguén da mesma rede espíe ou manipule o teu tráfico.

Que significa realmente ser "arruinado"?

O termo "pwned" provén dun antigo erro ortográfico de "owned" no mundo dos videoxogos en liña, pero co tempo pasou a usarse para describir unha conta ou un sistema que foi comprometidoCando HIBP che di que te "atacaron", basicamente significa que algunhas das túas credenciais acabaron nunha base de datos pública ou en mans de atacantes.

Isto non significa necesariamente que alguén xa accedese ás túas contas, pero si significa que A combinación de nome de usuario/correo electrónico e contrasinal que empregaches xa non se pode considerar secretaA partir de aí, os ciberdelincuentes poden recorrer a técnicas como o *credential stuffing*, que consiste en probar esas mesmas claves en centos de servizos diferentes ata atopar unha porta aberta.

Por iso ten tanto sentido comprobar regularmente se o teu correo electrónico ou os teus contrasinais apareceron en filtracións de datos, para reaccionar rapidamente cando descubras unha filtración e, sobre todo, Evita reutilizar contrasinais e confía na autenticación en dous factoresO HIBP é unha peza máis do crebacabezas, non a solución completa, pero cando se usa ben pode darche esa marxe de reacción que marca a diferenza.

A súa seguridade dixital depende en gran medida da combinación Ferramentas como Have I Been Pwned, xestores de contrasinais, autenticación multifactor e hábitos de navegación prudentesSe revisas os teus correos electrónicos e contrasinais con regularidade, cambias os contrasinais comprometidos con prontitude, mantés os teus dispositivos actualizados e tes coidado coas mensaxes sospeitosas, reducirás drasticamente as posibilidades de que alguén obteña o control das túas contas ou roube a túa identidade en liña.