Los últimos días han sido movidos en cuanto a incidentes de
ciberseguridad. Solo en España, el Banco Santander, la DGT e Iberdrola han
sufrido brechas de seguridad que han permitido a los atacantes hacerse con
datos de sus clientes y usuarios. Estos suelen acabar a la venta en foros de la
Dark Web, pero una vez pasa el tiempo y comienzan a circular suelen
saltar a otras plataformas más accesibles. Telegram es una de ellas y
sobre la que el investigador de ciberseguridad Troy Hunt ha alertado de la
distribución de 361 millones de cuentas de correo electrónico, sus contraseñas
y, en algunas, el sitio web en el que se usan esas credenciales.
Hunt explica en su página web cómo otro investigador de
ciberseguridad le ha hecho llegar 122 GB de datos extraídos de una
amplia serie de canales de Telegram. Se trata de más de 1.700 archivos que
suman 361 millones de cuentas de correo de diversos proveedores -Gmail,
Outlook, Hotmail, Yahoo y otros- de los cuales 151 millones corresponden a
filtraciones que habían escapado al responsable de Have I Been Pwned. Esta
es una web que colabora con organismos como el FBI y recopila desde hace
años las filtraciones de datos que se dan en Internet.
La razón por la que este tipo de información robada abunda
en Telegram es por la facilidad con la que permite compartirla de forma
anónima estableciendo un canal que cualquier usuario de la app puede
visitar tras realizar una búsqueda. “Muchas de las filtraciones que publiqué
anteriormente en HIBP se distribuyeron a través de Telegram, ya que es
sencillo publicar esta clase de datos en la plataforma”, explica Hunt.
Estas listas con combinaciones de correos y contraseñas se
conocen como combolist y son utilizadas por los ciberdelincuentes para
realizar ataques de credential stuffing o relleno de credenciales. Esto
es, utilizarlas aprovechando que la mayoría de usuarios repite contraseñas y
correos en muchos servicios, para intentar acceder a cuentas en bancos o
cualquier otra web de interés para un atacante. Esto no se hace manualmente,
sino usando herramientas automatizadas que permiten iniciar sesión en
múltiples sitios web con las credenciales robadas. Una vez dentro, los
atacantes pueden robar información personal, realizar transacciones
fraudulentas, o vender el acceso a estas cuentas.
Los 361 millones de cuentas no pertenecen a una única
combolist, sino a la suma de muchas de ellas. Han sido extraídas de 518
canales diferentes, probablemente usando malware del tipo infostealer,
según Hunt. Este tipo de software malicioso está diseñado específicamente para robar
información confidencial de un sistema infectado: nombres de usuario,
contraseñas, información financiera, detalles de tarjetas de crédito, datos de
formularios web, cookies del navegador y más.
Cómo saber si tu correo y contraseña están entre las filtradas
Have I Been Pwned fue creado por Troy Hunt en 2013 y desde
entonces recopila y agrega la información de múltiples violaciones de
seguridad. Un visitante de la web puede introducir su correo electrónico o
su número de teléfono para saber si aparece en cualquiera de ellas. Hunt ha
estado añadiendo cada filtración que se ha conocido durante más de una década y
su trabajo le ha valido el reconocimiento del FBI, que desde 2021 le da
acceso a las que el cuerpo de seguridad descubre para que pueda
incorporarlas a su base de datos.
El sitio web también es una excelente fuente para mantenerse
al día de las filtraciones, cada vez más numerosas, que se producen. Si usas la
función Notify Me y dejas tu correo, serás alertado cuando aparezca en
alguna nueva filtración de seguridad.
