RockYou2021, filtrada la compilación de contraseñas más grande de la historia

En los últimos días se ha publicado la noticia de que se ha filtrado la mayor recopilación de contraseñas de toda la historia de la informática conocida, colgada en un foro de hackers de la deep web.

Se trata de un archivo de texto plano (TXT) con un tamaño de 100 GB, que contiene la friolera de 8,4 billones de entradas de contraseñas, que presumiblemente contienen partes de otras fugas de información previas de contraseñas.

Según el autor del post, todas las contraseñas incluidas en el esta filtración tienen longitudes de entre 6 y 20 caracteres, con caracteres no ASCII y sin espacios en blanco. El autor además indica que son un total de 82 millones de contraseñas.

Sin embargo, los expertos han verificado el número de entradas y lo cifran en torno a 10 veces inferior, con 8,459,060,239 registros.

Filtrado un archivo con 8400 millones de contraseñas

La propia compilación de registros ha sido bautizada como RockYou2021 por el autor del post, supuestamente en referencia a la bien conocida fuga de información de contraseñas ocurrida en 2009, de nombre RockYou, que además viene incluida en distribuciones de hacking ético, como Kali Linux.

Esta colección supera al RockYou original más de 262 veces, siendo comparable aproximadamente con el COMB (Compilation of many breaches), la considerada como mayor fuga de contraseñas previamente, con sus 3200 millones de resultados -ahora incluidos en RockYou2021- con credenciales de múltiples fuentes.

Considerando la cantidad de usuarios en linea (4700 millones), por sus números, este pack de credenciales contendría contraseñas de casi 2 veces toda la población mundial. Por este motivo, se recomienda verificar cuanto antes si nuestras contraseñas podrían estar incluidas.

Cybernews

Impacto potencial

Si se combinan los 8400 millones de contraseñas con información de otras brechas anteriormente publicadas que incluyan nombres de usuario y direcciones de correo. Esto potenciaría ataques de password spraying (lanzar combinaciones de usuario/contraseña de forma secuencial) y ataques de diccionario contra contraseñas.

Consideremos, además, que en torno al 50% de usuarios reutilizan contraseñas en todos los servicios y webs, así que el número de cuentas afectadas por estas técnicas alcanzarían, fácilmente, miles de millones.

¿Has sido afectado? Sigue estos pasos

Si crees que podrías haber sido afectado por este caso, te recomiendo que cuanto antes lleves a cabo las siguientes acciones para protegerte.

• Utiliza un servicio de comprobación para saber si tu cuenta ha podido verse filtrada. Lo mismo para los correos.
• Activa autenticación en dos pasos o MFA en tantas cuentas como sea posible.
• Sé vigilante a la hora de recibir correos o SMS sospechosos o de tipo Spam.
• Hazte con un buen gestor de contraseñas: puede valer uno gratuito, uno que venga con tu antivirus, etc. Personalmente recomiendo Abine Blur (no soy comercial de la firma) porque tiene un plan gratuito muy bueno y opciones de pago muy interesantes. Review de Abine Blur.