L’Agència Nacional de Ciberseguretat ha alertat de la filtració massiva de 71 milions de credencials a nivell mundial i s’estan venent al millor postor. Entre els afectats hi ha usuaris de Faceook, Roblox o Yahoo. S’han vist afectats nombrosos usuaris particulars i empreses, i alhora ha generat pèrdues econòmiques abundants. Qualificada de la vulneració més gran de seguretat de la història cibernètica, inclou 25 milions de comptes nous que no havien estat sostretes mai.
El robatori, publicat per l’investigador Troy Hunt (de l’operador Have I Been Pwned?) es va publicar en un mercat clandestí que s’encarrega de negociar la venda de contrasenyes compromeses. Si bé és cert que, tot i portar quatre mesos en circulació, no se li havia donat més importància en considerar que eren les mateixes contrasenyes que estaven circulant amb anterioritat.
Els elements diferenciadors d’aquest robatori massiu
Hunt va arribar a la conclusió que es van sostreure 319 arxius amb un total de 104 GB, 70.840.771 adreces de correu electrònic úniques, 427.308 subscriptors individuals d’HIBP afectats i el 65,03% de les adreces ubicades a HIBP.
Si se sostreuen un terç de les adreces de correu electrònic, una dada que realment destaca, significa que s’està davant d’un robatori massiu de dades. D’aquesta manera, es denota que s’ha treballat amb programari maliciós que ha obtingut credencials de màquines i dispositius compromesos totalment.
Els llocs vulnerats han estat Facebook, Roblox, Coinbase, Yammer i Yahoo, entre d’altres. Crida l’atenció que les contrasenyes apareixen recopilades en text, sense format, doncs gairebé sempre les credencials que es roben figuren xifrades criptogràficament.
Errors humans que duen a la vulneració de la seguretat
Aquest robatori massiu es produeix a conseqüència de la debilitat de les contrasenyes, perquè, dels 100 milions de contrasenyes úniques acumulades, han aparegut un total de 1.300 milions de vegades. Se succeeixen, per tant, fileres duplicades, prevalença de persones que fan servir la mateixa contrasenya en serveis múltiples i diferents, i persones diferents que coincideixen en la contrasenya utilitzada.
En la seva investigació, Hunt s’ha encarregat de verificar una mostra de les credencials per veure si les adreces de correu electrònic es trobaven associades a comptes en els llocs web afectats. La conclusió va ser que les contrasenyes eren vàlides l’any 2020 o 2021. Normalment, la majoria, procedeixen d’una infracció anomenada naz.api que es va donar anteriorment a un lloc diferent.
De la mateixa manera, Hunt conclou que un percentatge elevat de les credencials sostretes no procedien de programari maliciós, sinó de farciment de credencials. Es tracta d’una fórmula nova d’atac basada en el segrest de comptes i la recopilació massiva posterior de credencials de comptes robats a partir d’infraccions prèvies. Així doncs, molts dels farciments de credencials van demostrar que algunes contrasenyes s’estaven emprant des d’abans del 2011.
La solució: configurar contrasenyes més segures
Hunt conclou la seva investigació amb un resum que sembla gairebé evident. Per a això és fonamental triar contrasenyes segures i mantenir-les fora de l’abast de les mirades indiscretes.
Així doncs, és fonamental crear una contrasenya llarga generada aleatòriament, conformada per, almenys, 11 caràcters i quatre paraules triades a l’atzar en un diccionari de més de 50.000 entrades. Existeixen eines eficaces i gratuïtes per a això com ara Bitwarden. Aquesta contrasenya s’emmagatzema posteriorment a la volta de l’administrador de contrasenyes.
És fonamental evitar que les contrasenyes segures es vegin compromeses, i per tant no s’hauran d’introduir en llocs de pesca i caldrà procurar mantenir els dispositius alliberats d’atacs de programari maliciós.
La doble autenticació, amb una clau de seguretat o aplicació d’autenticació, és fonamental, i cal afegir-la a la protecció de l’administrador de contrasenyes amb 2FA. A més a més, és important fer servir claus d’accés per mantenir-se immune al robatori.
El fet de crear un compte a ‘Have I Been Pwned?’ també es planteja com una solució eficaç i en pro de la productivitat i seguretat. Per a això, és important introduir periòdicament adreces de correu electrònic en el quadre de cerca del lloc i verificar si hi ha infraccions prèvies.
El lloc no registra adreces de correu electrònic ni carrega contrasenyes corresponents amb dades d’altres credencials emmagatzemades amb anterioritat. Es creen contrasenyes específiques, i se cerca dintre d’una base de dades determinada i es garanteix en tot moment l’anonimat ple.
Per obtenir una seguretat plena, la base és la formació o conscienciació tant per part dels usuaris com dels empleats de les empreses, perquè les seves decisions acabaran afectant el conjunt, especialment en termes estratègics i econòmics.
🌍🌍🌍