Seguridad

¿Está su cuenta de Gmail entre los 42 millones de credenciales perdidas?

¿Está su cuenta de Gmail entre los 42 millones de credenciales perdidas? / Seguridad

Los informes de que una pérdida masiva de cuentas de correo web incluye una gran cantidad de credenciales nunca antes vistas se han encontrado con una mezcla de pánico ... y dudas. ¿Qué tan exactas son las noticias, y podrían ser sus credenciales de Gmail, Hotmail / Outlook o Yahoo Mail??

272 millones de direcciones de correo electrónico únicas

No, no hay nada de malo en tu vista. Realmente lee “272 millones”. Ese es el total de pares únicos de direcciones de correo electrónico y contraseñas obtenidas de un pirata informático por Hold Security, una firma de seguridad de la información que previamente obtuvo una colección de 1,2 mil millones de nombres de las pandillas cibernéticas rusas en 2014. La banda rusa de hacking captura credenciales de 1.2 billones: lo que debes hacer Leer más. Parecería, entonces, que la compañía tiene buena forma en esta área y puede considerarse confiable..

Pero volveremos a eso.

La cifra de 272 millones es ciertamente alta, y aparentemente es una colección de cuentas de Gmail, Hotmail, Yahoo Mail y Mail.ru, un servicio de correo web ruso y de Europa del Este. Hold Security afirma que de los 272 millones de cuentas, 42.5 millones son nuevos, nunca se han incluido en ninguna violación de datos anterior.

Si es verdad, esto pone la filtración allí con algunos de los más grandes de todos los tiempos, como la filtración masiva de 150 millones de cuentas de usuarios de Adobe y la locamente dañina fuga de Ashley Madison. Piense otra vez Ashley Madison fuga No es gran cosa? Think Again El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido hackeado. Sin embargo, este es un problema mucho más serio que el que se ha descrito en la prensa, con implicaciones considerables para la seguridad del usuario. Lee mas .

Al igual que con todas las grandes fugas, puede averiguar si sus credenciales están en manos de piratas informáticos visitando www.haveibeenpwned.com. Este sitio, que apareció anteriormente en MUO, es una base de datos de datos de todos los hacks más grandes. Si encuentra sus credenciales allí y reconoce la contraseña como una actual, es hora de cambiarla. Mientras tanto, si la cuenta no está en uso, vale la pena cerrarla..

Ahora, ¿qué pasa con estos 42 millones de cuentas?

Quién filtró los datos?

La historia detrás de esta filtración parece envuelta en un misterio. La publicación del blog de Hold Security sobre el tema sugiere que se contactaron de forma anónima con más de 900 millones de credenciales recopiladas de múltiples violaciones durante un período de tiempo, un archivo de 10 gigabytes en total.

No conocemos a la persona que filtró los datos, a excepción de lo que se describe como “este niño de un pequeño pueblo en Rusia” Y que le pagaban en las redes sociales. No realmente.

Cómo los hackers pueden usar las violaciones de datos

Entonces, ¿qué significa, realmente? ¿Cómo puede alguien hacer uso de 10 gigabytes de credenciales de correo electrónico filtradas? Bueno, piénselo bien: en cuántos sitios web inicia sesión con su cuenta de correo electrónico?

En declaraciones a la BBC, el director de seguridad de la información de Hold Security, con sede en Milwaukee, Alex Holden, explicó cómo “hay sitios de piratas informáticos que publicitan servicios populares y fachadas de "fuerza bruta" al tomar una gran cantidad de credenciales y ejecutarlas una por una contra el sitio.”

Una por una, se está intentando una contraseña tras otra en servicios como Amazon, eBay, quizás Xbox Live y PlayStation Network, usando la técnica de fuerza bruta ¿Qué son los ataques de fuerza bruta y cómo puede protegerse? ¿Qué son los ataques de fuerza bruta y cómo puede protegerse? Probablemente has escuchado la frase "ataque de fuerza bruta". Pero, ¿qué significa eso exactamente? ¿Como funciona? ¿Y cómo puedes protegerte contra ello? Esto es lo que necesitas saber. Leer más, demostrado aquí:

Peor aún, las credenciales probablemente ya han sido compartidas en todo el mundo, admite Holden:

“Lo que hace que este descubrimiento sea más significativo es la voluntad del pirata informático de compartir estas credenciales virtualmente de forma gratuita, lo que aumenta el número de personas maliciosas que podrían tener esta información..”

Pero las brechas de seguridad también pueden ser utilizadas por las compañías de seguridad. En 2014, Hold Security intentó sacar provecho de la violación que reportó esa vez, ofreciendo un servicio de suscripción a los propietarios de sitios web (pero no a individuos). Algunos investigadores afirman que su momento anterior en el centro de atención fue un caso de estilo sobre la sustancia, pero Holden negó que este fuera el caso, afirmando ser “en realidad perdiendo dinero. No intentamos hacerlo con fines publicitarios desde la perspectiva del beneficio, no estamos impulsando nuestros servicios. De hecho, estamos intentando no quebrar.”

Si crees que Holden no es el punto, sin embargo. El punto es que la fuga incluye datos que podrían ser tuyos. Qué puedes hacer al respecto?

Debería cambiar mi contraseña, a la derecha?

Si eres el propietario de una cuenta de Hotmail, Outlook, Gmail, Yahoo Mail o Mail.ru, probablemente estés pensando que ahora mismo es el mejor momento para cambiar la contraseña de tu cuenta. Bueno, por un momento, aguanta a tus caballos. El reconocido investigador de seguridad, el profesor Alan Woodward dijo a la BBC que “no había "ninguna necesidad de entrar en pánico" o que las personas cambiaran sus contraseñas en este punto.”

Ahora, no estamos diciendo que no debas cambiar tu contraseña; Usted es libre de hacerlo en cualquier momento, ya que es su cuenta. Sin embargo, si la violación es tan grave como se reclama, su proveedor de correo web le solicitará que cambie su contraseña la próxima vez que intente iniciar sesión..

El profesor Woodward está siendo bastante astuto aquí, aconsejando a los usuarios que esperen las instrucciones de su proveedor de correo web. ¿Por qué? Bueno, para empezar, son Gmail, Hotmail / Outlook, Yahoo Mail y Mail.ru quienes tienen los recursos para investigar la legitimidad de la violación, y son esas compañías las que tienen el poder de iniciar restablecimientos masivos de contraseñas..

Además, los proveedores de correo web tienen herramientas para detectar inicios de sesión sospechosos. En definitiva, tienen la situación bajo control..

La amenaza del phishing y el spam

Un gran problema con las violaciones de seguridad de alto perfil es que traen consigo amenazas adicionales. Al igual que los peces piloto, los criminales nunca están lejos del gran pago, listos para recoger los desperdicios que se desechan. Existe una gran amenaza de phishing tras esta noticia en particular..

En primer lugar, si usa Gmail, Hotmail o Outlook, Yahoo Mail o Mail.ru, puede notar un aumento en los mensajes de correo electrónico no deseado. Algunos pueden provenir de nuevas fuentes y puede ser difícil para su proveedor de correo web tratar de la manera habitual (es decir, mantenerlo en la carpeta de spam / basura, fuera de su vista). Como resultado, es necesaria una vigilancia extra.

Quizás lo más importante es que debe tener en cuenta la posibilidad de correos electrónicos de suplantación de identidad (phishing). Cómo detectar un correo electrónico de suplantación de identidad (phishing) Cómo detectar un correo electrónico de suplantación de identidad (phishing). ¡Atrapar un correo electrónico de suplantación de identidad es difícil! Los estafadores se hacen pasar por PayPal o Amazon, intentando robar su contraseña y la información de su tarjeta de crédito, y su engaño es casi perfecto. Te mostramos cómo detectar el fraude. Lea más que dice ser del proveedor de correo web, que le pide que haga clic en un enlace para restablecer su contraseña. El enlace, por supuesto, será a un sitio web falso. Cómo los estafadores se dirigen a su cuenta de PayPal y cómo nunca caer en la trampa. Cómo los estafadores se dirigen a su cuenta de PayPal y cómo nunca se enamoran. PayPal es una de las cuentas más importantes que tiene en línea. No me malinterpretes, no soy un gran fanático de PayPal, pero cuando se trata de tu dinero, no quieres jugar. Mientras ... Leer más, listo para recoger sus credenciales actuales.

Es probable que ninguno de los proveedores de correo web en cuestión le envíe un correo electrónico de este tipo.

Manténgase seguro y evite los correos electrónicos de phishing

Parece que estamos viviendo en una época dorada de violaciones de seguridad (al menos para los piratas informáticos), y no muestra signos de desistir. Mientras haya sistemas en línea y se obtenga una ganancia, habrá personas con las habilidades y la motivación para violar esos sistemas..

Combatir esto requiere una mejor vigilancia de las empresas y servicios con los que compartimos nuestras direcciones de correo electrónico y datos personales; También necesita que estemos alertas ante las amenazas y sobre cómo podrían ejecutarse. Correos electrónicos de spam, sitios de suplantación de identidad (phishing), sitios web falsificados: todos son vectores de ataque que se dirigen a su bandeja de entrada.

¿Cómo te sientes acerca de esta última violación de seguridad? ¿Se está cansando de escuchar acerca de las fugas en línea que podrían evitarse con una seguridad más estricta?? Díganos lo que piensa: comience la conversación en el cuadro de comentarios.

Créditos de las imágenes: robar un bolso de Volkova Vera a través de Shutterstock, Brian Senic a través de Shutterstock.com, JMiks a través de Shutterstock.com

Obtenga más información sobre: ​​piratería informática, seguridad en línea, contraseña, violación de la seguridad.