Cerca de 773 millones de direcciones de correo electrónicos y más de 21 millones de contraseñas quedaron al descubierto a través de una lista llamada Collection #1 (Colección número 1) publicada en foros de hackers. 

“Collection #1 es un conjunto de direcciones de correo electrónico y contraseñas que suman 2,692,818,238 filas. Se compone de muchas filtraciones de datos individuales de miles de fuentes diferentes”, advirtió en su blog Troy Hunt, director regional de Microsoft y experto en seguridad.

Estas filas se componen por 772,904,991 cuentas de correo electrónico y 21,222,975 contraseñas. En total, hay 1,160,253,228 combinaciones únicas entre esos datos.

El rastro de la fuga de datos comienza a través de un documento procedente de la plataforma de almacenamiento MEGA, que contiene archivos con una colección de más de 2 mil bases de datos en las que las contraseñas encriptadas se han convertido en texto común.

En total, más de 12 mil archivos de texto diferentes recopilan los datos expuestos. El total de la información tiene un peso de 87 GB, aunque se compone básicamente de texto.

¿Cuál es el riesgo?

Los hackers toman listas como estas que contienen las direcciones de correo electrónico y contraseñas y luego intentan ver dónde más funcionan. El éxito de este método se basa en el hecho de que las personas reutilizan las mismas credenciales en múltiples servicios. Existen herramientas automatizadas para aprovechar estas listas en todo tipo de servicios en línea, incluidos aquellos en los que se compra y socializa.

¿Qué hacer?

Hunt recomienda a los usuarios comprobar si sus contraseñas fueron hackeadas a través de la página web de HIBP (Have I Been pwned?), así como cambiar las claves antiguas y crear contraseñas únicas utilizando un administrador de contraseñas, además de utilizar la autenticación en dos pasos siempre que esté disponible.

Si se encuentra su dirección de correo electrónico, debe estar muy atento a los ataques de phishing. Se aconseja nunca hacer clic en un enlace de inicio de sesión en un correo electrónico que no desconocido. Si éste parece legítimo, es preferible escribir la URL conocida del sitio.

Fuente: troyhunt.com