Collection #1: El análisis posterior

El pasado 17 de enero te informamos acerca de Collection #1, la masiva colección de usuarios/contraseñas que fue recopilada y filtrada al público en la internet. Ya unos días después podemos obtener conclusiones de ella. Conclusión #1: Cambia tus contraseñas!

Las revelaciones del pasado viernes acapararon los titulares del mundo, y no fue en vano. Considerando que la recopilación masiva de credenciales en texto plano es de 87 GB de datos, y que corresponde, entre otras cosas, a 773 millones de usuarios y sus respectivas contraseñas…

Para que se hagan una idea, esto es como si se hubiesen filtrado los pares usuario/contraseña correspondientes, aproximadamente, a toda la población de América del Norte más la de América del Sur. O la de más de todos los habitantes de Europa. O la de más de todos los latinoamericanos… De hecho, lo más probable es que alguna de tus cuentas se encuentre entre las cuentas reveladas.

Recuerdan al Titanic? Collection #1 es sólo la punta del iceberg. El periodista y hacker Brian Krebs se comunicó directamente con quienes vendían la base de datos y averiguó que no es ni por si acaso la cantidad más grande de datos disponibles para la venta.

Alex Holden, de Hold Security detalló que la colección apareció a la venta por US $60 por primera vez en foros underground en octubre de 2018, y que es sólo una pequeña muestra de bases de datos mucho más grandes disponibles en el mercado negro.

Del “folleto de venta” podemos apreciar que la suma total correspondería a app 1TB de información y que el vendedor, Sanixer, está disponible en Telegram y ofrece un buen servicio al cliente: acceso de por vida a la nube y actualizaciones semanales gratuitas.

Krebs contactó a Sanixer, quien le informó que Collection #1 está a la venta por sólo US $45. Esto resulta en US $0.000002 por contraseña, de las cuales se puede obtener una infinita mayor ganancia, utilizando la creatividad criminal.

Sanixer explica que Collection #1 consiste en datos recopilados desde numerosos sitios web hackeados y que sus datos no son los más nuevos. De hecho, intenta disuadir a Krebs de comprar esa base de datos, ya que, a diferencia de sus otras colecciones, ésta es de 2-3 años de antigüedad, pero que las otras, que totalizan más de 4 TB de datos fueron obtenidas hace menos de un año.

 

Análisis de Collection #1

Marco Ramilli, CEO de Yoroi Security ha sido uno de los primeros en publicar un análisis de la masiva Collection #1, destacando la dificultad para analizar esta gran suma de datos: requiere un enorme poder de computación (algo que el IBM Q System One podría hacer en segundos). Después de escribir un script y utilizar una instancia de Elastic Search Cloud, el porcentaje de error de sus cálculos podría ser de un 4 a 5% en el siguiente análisis.

Cuáles fueron la contraseñas más utilizadas?

Es interesante destacar que, junto a las malas elecciones de siempre (123456, 12345678, 123456789, qwerty), se comenzaron a observar contraseñas más complejas (no se hagan ilusiones, “q1w2e3r4t5y6” y “1qaz2wsx3edc” son pésimas opciones, de todas formas), igualmente fáciles de adivinar y/o de fuerzabrutear. Aun así, el incremento en complejidad de las contraseñas más comunes es indicador de un cambio en la mentalidad de los usuarios hacia una consciencia por la necesidad de mejores credenciales.

Cuáles fueron los nombres de dominio más recurrentes?

La respuesta: “yahoo.com”, “gmail.com”, “aol.com” y “hotmail.com”, que corresponden mayoritariamente a direcciones de correo personales en vez de correos de negocios. Yo me aventuraría a decir que, debido a que los leaks provienen de múltiples sitios web hackeados, en ellos los usuarios se autentican con sus correos personales en vez de sus correos de negocios. El riesgo es que la mayoría de las personas reutiliza sus contraseñas, por ende, es altamente probable que compartan las mismas credenciales para diferentes sitios.

De qué fuentes provienen los datos?

Es difícil deducirlo a partir de la información disponible, pero se sabe que la colección está estructurada en carpetas que contienen archivos de texto nombrados a partir de nombres de dominio. Esto podría indicar que a partir de esas páginas web se obtuvieron los datos de cada archivo. 

Adicionalmente a la captura compartida por Ramilli, Troy Hunt publicó una lista con los nombres de las más de 2000 bases de datos que componían Collection #1. 6 de ellas tienen dominio .cl

Para tener en consideración

Muchos tienden a pensar que con esta información, los cibercriminales podrían inmiscuirse en nuestros correos personales, pero lo más común es que, actualmente, estos datos sean útiles para realizar ataques de phishing, chantajes y otros ataques indirectos. Aun así, poder acceder al correo personal de una persona habilitaría al atacante para poder tomar control de todos los servicios asociados a éste, pues es a la bandeja de entrada adonde llegan todas las solicitudes de cambio de contraseña.

Si reutilizas tus contraseñas, estás incurriendo en un altísimo riesgo. Mantén una contraseña única, al menos para tu correo personal y otra única para tu correo de negocios o de trabajo.

Estaremos comunicando más acerca de estos temas, puesto que es urgente que tomes medidas ante estas amenazas. Por mientras, si aún no lo has hecho, verifica si tus cuentas han sido vulneradas y cambia tus contraseñas YA!, o te estarás exponiendo a un montón de problemas que irán surgiendo a medida que más y más criminales se adueñen de estas colecciones.