5 millones de cuentas de Gmail y sus posibles contraseñas han sido publicadas, la tuya puede estar entre ellas

11 de septiembre de 2014

Sin duda alguna, la jornada de hoy será recordada por más de uno como aquella en la que se llevó uno de los peores sustos de su vida. En numerosos medios de comunicación ha surgido la noticia de que una lista con 5 millones de cuentas de Gmail y sus correspondientes passwords había sido publicada en un foro ruso sobre Bitcoin, generando un pánico como bien merece una consternadora noticia como esa. Y es que, en estos últimos tiempos, los escándalos de hackeos están a la orden del día y parece que cada semana vayamos a tener uno nuevo. En este caso, la problemática es más grave todavía porque la contraseña de una cuenta de Gmail no sólo abre la puerta al correo electrónico que ella contiene, sino que muchos otros servicios de Google (como Google+) usan las mismas credenciales, algo muy goloso para cualquier cibercriminal que se precie.

svyCoIx

Así pues, es hora de comprobar y cambiar las contraseñas... una vez más. Aunque es importante no entrar en pánico, ya que un estudio más exhaustivo de la lista ha permitido concluir que se trata de datos muy antiguos, colectados seguramente a lo largo de mucho tiempo, y no a través de un agujero de seguridad en el servicio de Gmail como se pensó en un principio, sino a través de ataques de phishing (suplantación de identidad) o también a través de hackeos a webs como foros.

Por ejemplo, vamos a suponer que tu cuenta de Gmail es megustaavast@gmail.com y tu contraseña es avastmola. También vamos a suponer que hace un montón de años te registraste en un foro que versa sobre la cría del escarabajo pelotero, y pusiste tu correo electrónico para el registro (como es habitual en los foros) pero como contraseña de dicha página escribiste vivaelescarabajo. Pues bien, lo que estaría ocurriendo es que dicho foro fue hackeado en algún momento y en la lista de las 5 millones de cuentas de Gmail publicada ayer aparecería tu dirección de correo (avastmola@gmail.com) pero con la contraseña del foro (vivaelescarabajo). Por tanto, en principio, estarías a salvo.

Pero no hay que olvidar que, como dijo Greele, el sentido común es el menos común de los sentidos, y hay mucha gente (sí, mucha más de la que puedas pensar en un principio) que tiene por costumbre usar las mismas contraseñas en todos o casi todos los sitios webs en los que participa o es miembro (cometiendo así uno de los errores más garrafales que se pueden dar en el mundo de la seguridad informática). Y es esta gente la que puede haberse visto con sus credenciales comprometidas, y con su correo intervenido, con el peligro que eso puede conllevar (por ejemplo usar su cuenta para el envío de spam o malware a todos sus contactos).

Es esta página web, o en esta otra, se puede realizar una comprobación y ver si tu cuenta está en la famosa lista. Y si lo está, nos permitirá ver también los dos primeros caracteres de la contraseña que aparece allí, para que de un vistazo puedas ver si puede ser la auténtica o principal.

is my email leaked

No cometas el error de pensar que eres alguien anónimo y que "seguramente no apareceré", ya que estamos viendo muchas personas cercanas cuyo correo sale. Matteo Flora, un experto en seguridad informática, ha contado a Mashable que  ha revisado el archivo y encontró unas 60 personas que él conocía. Después de haberles avisado, 30 de ellos le dijeron que la contraseña que allí aparecía no fue nunca usada en Gmail, o si lo fue era muy antigua. Chester Wisniewski, de la firma de seguridad Sophos, también comentó a este medio que según su opinión la gran mayoría de esas contraseñas no serán válidas: "Como suelen decir los ladrones, no hay honor entre ellos, y en muchas ocasiones asuntos como este son sacados a la luz sólo para ganar credibilidad contra otros grupos de cibercriminales", ha comentado. Además, numerosos usuarios de la famosa web Reddit han confirmado que han visto su dirección de e-mail en la lista, pero que los passwords nunca fueron su credencial para Gmail.

"La contraseña que aparece en el archivo es una que uso generalmente para otros servicios, y no es la que utilizo en Gmail", escribió el usuario de Reddit con el nick InternetOfficer. "Esto prueba que los ladrones hackearon algún otro servicio que no es Gmail en sí mismo y donde puse un password genérico".

Tanto Flora como otras personas han visto que algunas direcciones de Gmail estaban compuestas usando el símbolo "+" y el nombre de una página web (una característica de Gmail que te permite a sus usuarios filtrar los correos electrónicos en base a de dónde provienen). Esto ha permitido identificar algunos de los sitios webs hackeados de donde se han sacado las cuentas, estando entre ellos Friendster, Filedropper, Xtube y Freebiejeebies.

Así pues, y como conclusiones:

- Si eres de los que suele usar la misma contraseña para todo, ya estás tardando en cambiar tus credenciales de Gmail.

- Si eres de los que hemos comentado en el apartado anterior, ¡deja de hacerlo! Empieza a cambiar las contraseñas de las webs más importantes que uses (bancos, e-mail, etc.) y establece una única y diferente para cada sitio. Hace un tiempo escribimos un artículo llamado Crear tu contraseña perfecta es posible, te recomendamos que lo leas atentamente y sigas los consejos que ahí se dan.

- Muchos servicios web te ofrecen la posibilidad de la identificación en dos pasos, por ejemplo mediante contraseña y luego mensaje a tu móvil. No seas vago y hazlo sobre todo en las páginas más importantes para ti.

- Cómo no, usa un buen antivirus, como Avast, para evitar infecciones en tu equipo que puedan robar tus passwords cuando los escribes y que te proteja contra sitios de phishing.

 

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram