Tecnología

Hacker publicó más 100 millones de contraseñas de correos Gmail: ¿cómo averiguar si está la suya?

Se han filtrado un total de 104 GB de datos de credenciales.

Redacción Tecnología
22 de enero de 2024
Hacker
Un ataque a diferentes bases de datos permitió la filtración de nombres de usuario y contraseñas. | Foto: Getty Images/iStockphoto

El investigador de seguridad, Troy Hunter, informó sobre la publicación de una lista de credenciales robadas Naz.API, que incluye alrededor de 71 millones de direcciones de correo electrónico y 100 millones de contraseñas de texto sin formato, junto con el servicio para el que se utilizaban estas credenciales, incluyendo plataformas como Facebook o Roblox.

Es habitual que actores maliciosos publiquen listas de credenciales de datos robados de usuarios en páginas o foros dedicados a ello, se trata de filtraciones que aparecen como consecuencia de ciberataques o brechas de seguridad.

En este sentido, el especialista en ciberseguridad y creador de la plataforma Have I Been Pwned, ha identificado una nueva lista de credenciales robadas, a la que se refieren como Naz.API, que ha filtrado un total de 104 GB de datos de credenciales, pertenecientes a servicios como Coinbase, Ebay, Yahoo, Facebook o Roblox.

Hacker
Hacker masculino con una sudadera con capucha negra trabajando en una computadora y una computadora portátil. | Foto: Getty Images

Tal y como explicó Troy Hunter en un comunicado en su web, la lista Naz.API se publicó inicialmente en el mes de septiembre en un foro de piratería, y fue creada a partir de datos extraídos de registros de ladrones. Así, contiene datos como los nombres de usuario y contraseñas guardados en los navegadores utilizados por los usuarios.

En este sentido, la lista incluye hasta 319 archivos de datos filtrados. Entre ellos, se han encontrado 70.840.771 direcciones de correo electrónico únicas y alrededor de 100 millones de contraseñas de texto sin formato relacionadas. Todo ello, junto al servicio para el que se utilizaban las credenciales, como Facebook o Roblox.

Según las comprobaciones del investigador, el 65,03 por ciento de las direcciones publicadas ya se encontraban almacenadas en la base de datos de su plataforma Have I Been Pwned, lo que sugiere que son datos de filtraciones más antiguas que ya han sido alertadas.

Hacker
Las contraseñas comenzaron a circular por la web en septiembre de 2023. | Foto: Getty Images/iStockphoto

Por tanto, casi 25 millones de los 71 millones de direcciones de correo electrónico incluidas en la lista han sido expuestas por primera vez a través de la base de datos Naz.AP.

Asimismo, el investigador ha especificado que, tras llevar a cabo verificaciones con los datos, estos tienen “un alto grado de confianza” en cuanto a su legitimidad. Por ejemplo, las direcciones de correo se verifican en los servicios y plataformas con los que están relacionadas. Por ello, se trata de una lista de credenciales reales.

Igualmente, en cuanto a las contraseñas, usuarios de Have I Been Pwned, que han participado en la investigación para ayudar a verificar la legitimidad de la infracción, también han asegurado que se trata de contraseñas reales que han utilizado en algún momento. Sin embargo, cabe destacar que han señalado que se trata de antiguas contraseñas que usaban anteriormente en algunos servicios en línea.

Hacker
La investigación ha permitido confirmar la veracidad de las contraseñas robadas. | Foto: Getty Images

En este marco, Hunter ha detallado que dichas contraseñas han sido introducidas en su servicio Pwned Passwords, que permite a los usuarios consultar si han sido filtradas. Asimismo, ha recomendado a los usuarios utilizar sus servicios para comprobar si sus credenciales se encuentran en dicha lista, de cara a evitar posibles consecuencias posteriores y tomar medidas en caso de que se hayan filtrado.

De la misma forma, el especialista también ha recordado la importancia de crear contraseñas “seguras y únicas”, así como activar sistemas como la autenticación en dos fases (2FA) para todas las credenciales.