Filtraciones de contraseñas en la dark web: verifica y protégete

Lectura de 8 min aprox.

Cuando las noticias informan que cientos de millones de contraseñas han sido filtradas, muchas personas sienten que no les afecta. Sin embargo, las contraseñas filtradas - a menudo con sus hashes descifrados - se comercializan en una red anónima llamada dark web y se utilizan para accesos no autorizados reales. Según el informe 2024 del Identity Theft Resource Center, en 2024 se reportaron 3,158 incidentes de filtración de datos a nivel mundial, afectando a aproximadamente 340 millones de personas. Esta tendencia continúa en 2025, con filtraciones a gran escala que no muestran señales de detenerse. Además, la investigación de Digital Shadows indica que más de 24 mil millones de credenciales filtradas circulan en la dark web, aproximadamente tres veces la población mundial. La proliferación de herramientas automatizadas de credential stuffing impulsadas por IA también está acelerando la explotación de datos filtrados. Este artículo explica cómo funciona la dark web, cómo se explotan los datos filtrados y presenta defensas concretas utilizando パスつく.com.

Qué es la dark web

Internet se puede dividir en tres capas: la "web superficial" accesible a través de motores de búsqueda convencionales, la "web profunda" que incluye sitios con membresía y bases de datos que requieren inicio de sesión, y la "dark web" a la que solo se puede acceder mediante software especializado como Tor.

La dark web en sí es técnicamente neutral, pero su alto grado de anonimato la ha convertido en un caldo de cultivo para transacciones ilegales. Información robada de tarjetas de crédito, datos personales y bases de datos de contraseñas se comercializan rutinariamente, formando un ecosistema de ciberdelincuencia. Las comunicaciones en la red Tor se cifran a través de múltiples nodos de retransmisión, lo que hace extremadamente difícil identificar el origen. Esta característica técnica es la razón fundamental por la que las acciones de las fuerzas del orden son tan difíciles.

La realidad del comercio de datos filtrados

Cuando empresas o servicios sufren ciberataques y sus bases de datos se filtran, los atacantes publican la información en mercados de la dark web. Las transacciones se realizan con criptomonedas como Bitcoin, lo que dificulta su rastreo.

El precio de los datos filtrados varía enormemente según su contenido. Los conjuntos de correo electrónico y contraseña se comercializan por unos pocos centavos cada uno, pero cuando incluyen información de cuentas bancarias o tarjetas de crédito, los precios pueden alcanzar decenas de dólares o más. Inmediatamente después de una filtración a gran escala, los precios bajan al inundarse el mercado, pero con el tiempo el valor aumenta a medida que los conjuntos de datos se consideran "verificados."

Lo que hace esto particularmente grave es que una vez que los datos filtrados entran en circulación, es imposible recuperarlos por completo. Las copias se replican infinitamente y caen en manos de múltiples grupos de atacantes. Incluso años después de una filtración, el riesgo de explotación persiste si las contraseñas no se han cambiado.

Cómo funcionan las combo lists y sus amenazas

Una combo list es una recopilación de direcciones de correo electrónico (o nombres de usuario) y contraseñas obtenidas de múltiples incidentes de filtración en una sola lista. Los atacantes utilizan estas listas para intentar inicios de sesión automáticos en diversos servicios. Esta técnica de ataque se denomina "credential stuffing."

Las combo lists son efectivas porque muchos usuarios reutilizan contraseñas. La realidad es que las credenciales filtradas de un servicio funcionan en otros servicios en un número sorprendentemente alto de casos. Los atacantes cargan millones de entradas de combo lists en herramientas automatizadas e intentan vulnerar grandes cantidades de cuentas en poco tiempo.

Los atacantes más sofisticados analizan patrones en las contraseñas filtradas para predecir a qué podrían cambiarlas los usuarios. Por ejemplo, si "Password2023" fue filtrada, intentarán "Password2024" o "Password2023!" Los patrones de cambio de contraseña ideados por humanos son inherentemente predecibles. Es importante señalar que simplemente agregar un dígito o símbolo al final de una contraseña es un patrón ya registrado en los diccionarios de herramientas de ataque y no proporciona prácticamente ningún beneficio defensivo.

Para conocer más sobre el credential stuffing, guías sobre credential stuffing y ataques de listas de contraseñas (Amazon) también pueden ser útiles.

Cómo verificar si tu información ha sido filtrada

Existen formas de verificar si tu dirección de correo electrónico o contraseña ha sido incluida en incidentes de filtración anteriores. Have I Been Pwned (haveibeenpwned.com) es un servicio altamente confiable que permite buscar en bases de datos de filtraciones anteriores. Simplemente ingresando tu dirección de correo electrónico puedes ver en qué incidentes de filtración fue incluida.

Si se confirma una filtración, cambia inmediatamente la contraseña del servicio afectado. Si usaste la misma contraseña en otros servicios, necesitas cambiarlas todas por contraseñas diferentes. Un error común es pensar que "no hay problema si la contraseña filtrada es antigua," pero los atacantes predicen patrones de cambio a partir de contraseñas anteriores, por lo que es esencial cambiar a una contraseña completamente aleatoria.

Para conocer los pasos específicos sobre detección y respuesta ante filtraciones, guías de detección y respuesta ante filtraciones de datos (Amazon) también pueden ser útiles.

Estrategia de defensa: usar contraseñas aleatorias con パスつく.com

La defensa más efectiva contra las combo lists y el credential stuffing es usar contraseñas completamente aleatorias para cada servicio. パスつく.com genera contraseñas utilizando números aleatorios criptográficamente seguros, asegurando que no se incluyan hábitos humanos ni patrones predecibles.

Puntos clave para usar パスつく.com como contramedida contra la dark web:

• Genera una contraseña diferente para cada servicio, eliminando completamente la reutilización de contraseñas
• Usa al menos 16 caracteres incluyendo mayúsculas, minúsculas, dígitos y símbolos
• Verifica al menos 80 bits de entropía usando el medidor de fortaleza de パスつく.com
• Regenera inmediatamente las contraseñas con パスつく.com para cualquier servicio donde se descubra una filtración
• Almacena las contraseñas generadas en un gestor de contraseñas en lugar de depender de la memoria

Las contraseñas aleatorias generadas por パスつく.com tienen prácticamente cero posibilidades de aparecer en combo lists. Gestiona tus contraseñas generadas con un gestor de contraseñas. Incluso si un servicio sufre una filtración, se han establecido contraseñas completamente diferentes para otros servicios, rompiendo la cadena de daños. Comprender los riesgos de la reutilización de contraseñas es esencial. Dado que todo el procesamiento de generación de contraseñas se completa dentro del navegador, no existe riesgo de que las contraseñas generadas se filtren externamente. Para conocer los pasos específicos a seguir cuando se descubre una filtración, consulta también Qué hacer cuando ocurre una filtración de datos y respuesta personal a incidentes.

Lista de verificación de protección contra filtraciones

Revisa los siguientes puntos para evaluar tus defensas contra la explotación de datos filtrados en la dark web.

• ¿Has verificado tu dirección de correo electrónico en Have I Been Pwned?
• ¿Has cambiado las contraseñas de todos los servicios donde se confirmaron filtraciones?
• ¿Estás usando contraseñas diferentes para cada servicio?
• ¿Son tus contraseñas cadenas aleatorias de al menos 16 caracteres?
• ¿Has configurado la autenticación de dos factores para cuentas importantes?
• ¿Estás gestionando centralmente tus credenciales con un gestor de contraseñas?
• ¿Te has registrado en servicios de notificación de filtraciones (como las alertas por correo de Have I Been Pwned)?

Lo que puedes hacer ahora mismo

1. Verifica tu dirección de correo en Have I Been Pwned (haveibeenpwned.com) y regístrate para recibir notificaciones de filtraciones
2. Cambia inmediatamente las contraseñas de servicios filtrados por contraseñas aleatorias de al menos 16 caracteres generadas por パスつく.com
3. Haz una lista de todos los servicios donde reutilizas contraseñas y cámbialas secuencialmente por contraseñas diferentes
4. Configura la autenticación de dos factores para cuentas importantes (correo electrónico, servicios financieros)
5. Adopta un gestor de contraseñas y establece un sistema para gestionar centralmente todas las credenciales

Preguntas frecuentes

¿Puedo verificar si mi contraseña se está vendiendo en la dark web?

Puedes verificar en Have I Been Pwned (haveibeenpwned.com) buscando tu dirección de correo. No necesitas acceder directamente a la dark web. Usar servicios de monitoreo legítimos como este es el enfoque seguro.

¿Qué sucede cuando las contraseñas se filtran a la dark web?

Las contraseñas filtradas se compilan en listas y se usan para credential stuffing (intentos de inicio de sesión automatizados en otros servicios). Se venden en conjuntos que van desde unos pocos dólares hasta miles de cuentas, y los compradores usan herramientas automatizadas para intentar inicios de sesión masivos no autorizados. La reutilización de contraseñas causa daños en cascada.

¿Qué pueden hacer los individuos para evitar que sus contraseñas terminen en la dark web?

No puedes prevenir las filtraciones del lado del servicio, pero puedes minimizar el daño. Usa una contraseña aleatoria diferente para cada servicio y activa la autenticación de dos factores. Incluso si un servicio es vulnerado, el impacto en tus otras cuentas será cero.