El negocio de las contraseñas

«Una página de sexo ‘hackeada’: 412 millones de usuarios expuestos». El mes pasado, esta noticia fue portada en medio mundo. La única fuente que se aportaba: LeakedSource. Le seguimos la pista y descubrimos el boyante negocio de ciberespionaje que tienen los ‘hackers’ con nuestras ‘passwords’. Por Carlos Manuel Sánchez / Fotos: Getty Images y Fotolia

Sus contraseñas en Internet valen dinero. Da igual que sean viejas, o que ya no las use, o que pertenezcan a sitios que ya ni siquiera existen porque fueron cerrados hace tiempo. Incluso puede que sean contraseñas de sitios de los que se ha dado de baja y usted creía que sus datos personales habían sido borrados; y resulta que siguen ahí, almacenados a perpetuidad. Si no las han robado ya, los hackers de contraseñas las robarán tarde o temprano y sacarán tajada. Incluso Facebook las compra en el mercado negro.

Los expertos dicen que 2016 se recordará como el año de las brechas de seguridad en las redes sociales. Muchas de las grandes plataformas han sido hackeadas: Yahoo, Tumblr, Dropbox, LinkedIn, Last.fm, Badoo… Y la bola de nieve seguirá creciendo, según los expertos.

La última web hackeada ha sido la de la página de sexo Adultfriendfinder, que ha reconocido el robo de los datos de 412 millones de usuarios, un hackeo masivo que deja en pañales el de otra web de citas, Ashley Madison, que afectó a unos 37 millones de cuentas.

«Se trata de la mayor intrusión de la historia de Internet», según LeakedSource, una misteriosa web que alerta sobre incidentes de piratería y que reveló el asunto. La gente de LeakedSource se escuda en el anonimato, pero sus alertas siempre acaban confirmándose. Por cierto, que 5650 de los usuarios del sitio porno pertenecen a correos oficiales de gobiernos y parlamentos de diferentes países, y 78.300 a ejércitos. Y unos 15 millones son clientes que habían cancelado sus cuentas, pero Adultfriendfinder no borró los datos de sus registros. No obstante, esta vez no han salido a la luz las preferencias sexuales y los historiales de citas de los usuarios. «Después de mucho debate interno hemos decidido no hacerlos públicos y que no se puedan buscar en nuestra base de datos», reconocen desde LeakedSource. Hay que recordar que, en el caso de Ashley Madison, donde no hubo tantos miramientos, pues los hackers publicaron en BitTorrent nombres, apellidos, correos, teléfonos y transacciones financieras, se dieron casos de chantaje y al menos tres suicidios.

Carroñeros de la web

LeakedSource mantiene una gigantesca base de datos en la que hay en la actualidad 2830 millones de credenciales robadas -contraseñas, nombres y perfiles de usuario, fechas de nacimiento…- y mantiene un buscador que facilita a cualquier interesado gratis saber si sus datos han sido expuestos. En tal caso, lo más sensato es cambiarlos. Se supone que LeakedSource hace lo que hace por nuestro bien [además de por su propio interés, pues cobra de anunciantes y suscriptores]. Pero algunos expertos cuestionan su legalidad. ¿Por qué? Porque por un módico precio -cuatro dólares al día- también ofrece un controvertido servicio extra: la posibilidad de realizar búsquedas muy detalladas, incluidas las contraseñas desprotegidas. Otras webs similares, como haveibeenpwned.com, se limitan a avisar al usuario de que su correo aparece en una web hackeada, pero no desvela las contraseñas ni ayuda a descifrarlas.

LeakedSource es una misteriosa web que nos alerta si hemos sido ‘hackeados’. Pero, al mismo tiempo, permite acceder a contraseñas protegidas

«Antes de que nos señalen con el dedo, tenemos que decir que toda la información que hemos almacenado está disponible en Internet; nosotros no la robamos, nos limitamos a recolectarla», se defienden desde LeakedSource. Y añaden: «Nosotros no somos hackers, somos carroñeros. No vendemos información. La recopilamos en la deep web [‘Internet profunda’]». Sin embargo, también reconocen que el grueso de los datos se los proporcionan hackers anónimos que los contactan en busca de publicidad.

Y es que nuestras contraseñas se venden y revenden decenas de veces en los mercados negros de la deep web, aunque estén obsoletas. Siempre se les saca partido, a veces de la manera más insospechada. Al principio, cuando el robo está aún caliente, se subastan al mejor postor; si ya son muy viejas se sigue trapicheando con ellas en foros de hackers de la web superficial, donde se ofrecen packs con millones de datos por un puñado de bitcoins, la moneda habitual en estas transacciones porque no se puede rastrear. En el caso de LinkedIn, un hacker llamado Peace [‘Paz’] ponía a la venta 6,5 millones de contraseñas por 5 bitcoins, unos 3500 euros al cambio.

¿Quién los compra?

Sorprendentemente, no solo los ciberdelincuentes. Alex Stamos, director de seguridad de Facebook, acaba de revelar que la red social es cliente habitual del mercado negro de contraseñas. Por una buena causa, asegura Stamos: proteger a sus usuarios. No es que las compre Facebook para sacarlas de la circulación y que no caigan en poder de los ‘malos’, como sugieren erróneamente algunos. Nada impide a un hacker revender el material. Lo que hace Facebook es bastante más sofisticado: compara los datos entre las contraseñas que circulan en los cloacas de Internet y las que están en su servidor para buscar correspondencias. Cotejando puede descubrir si se han hecho públicas. En tal caso avisa a los usuarios para que las cambien. No obstante, muchos expertos cuestionan esta política. «Pagar por contraseñas robadas refuerza un modelo de negocio criminal y anima a los hackers a robar más contraseñas», afirma Amichai Shulman, de la consultora de ciberseguridad Imperva.

¿Cuál es el misterio?

¿Por qué una contraseña siempre genera negocio (y supone una amenaza), aunque ya no la usemos? Porque proporciona una información preciosa. Y esto es así porque decenas de millones de usuarios repiten sus contraseñas en todos los sitios que visitan. Hay ciberdelincuentes que se dedican a probar sistemáticamente las contraseñas robadas en una web en decenas de portales de compras, sitios de juego y redes sociales, confiando en nuestra pereza: como no solemos cambiarlas, solo es cuestión de paciencia hasta dar con alguien que ha repetido credenciales en otra parte. ¡Bingo! Y, además, es muy sencillo para un hacker adivinar nuestra nueva contraseña si conoce alguna anterior, porque modificamos poquitas cosas. Y nos estrujamos poco la mollera. LeakedSource ha hecho pública la lista de las contraseñas más usadas. La primera es 123456. Es como dejar la puerta de nuestra casa abierta de par en par.

¿Y para qué va a querer nadie acceder a mi equipo?

¿Si lo único que guardo en él son cosas aburridas, informes, facturas y cosas así? Pero desde el Instituto Nacional de Ciberseguridad (Incibe) advierten que todo se aprovecha. Las credenciales le sirven a un delincuente para suplantar nuestra identidad. Además, en nuestras redes sociales hay más información que puede venderse: desde números de teléfono hasta fotos de niños. También se pueden encontrar contraseñas de servicios de pago que podrá vender; o números de tarjeta de débito/crédito con su correspondiente código PIN. Las direcciones de correo electrónico se venden en el mercado negro como parte de enormes bases de datos para el envío de spam. Los perfiles de usuario, con nuestras preferencias de compra, también se comercializan.

Facebook reconoce que es cliente habitual del mercado negro de contraseñas. Pero dice que lo hace para proteger a sus usuarios

Y nadie está a salvo. Ni siquiera las cuentas de los fundadores y directivos de las redes sociales. Han hackeado a Sundai Pichar (Google), a Dick Costolo (Pinterest), a Markus Notch Persson (Minecraft), a Biz Stone (Twitter). Pero el más sonado ha sido el hackeo del mismísimo Mark Zuckerberg: ¿cómo se le ocurre a alguien con tanta mili como el patrón de Facebook utilizar como contraseña ‘dadada’? Tuvo suerte porque no todos los hackers buscan hacer daño, algunos solo quieren notoriedad. Y alertar -dicen- sobre las debilidades del sistema. Así que con las mismas le devolvieron el control de su cuenta.