passtsuku.com
日本語English中文Español

Filtraciones de contraseñas que cambiaron la historia - Lecciones de los 3 mil millones de cuentas de Yahoo

Lectura de 12 min aprox.

Miles de millones de contraseñas han quedado expuestas en filtraciones masivas durante las últimas dos décadas. Estos incidentes transformaron la forma en que las empresas manejan los datos de usuarios y nuestra percepción de la seguridad de contraseñas. Este artículo repasa cinco filtraciones históricas, analiza los fallos técnicos detrás de cada una y extrae lecciones que puedes aplicar hoy mismo.

Conclusión - Lo que nos enseñan las filtraciones

Las cinco filtraciones comparten una causa raíz: las contraseñas se almacenaban de forma deficiente. Almacenamiento en texto plano, hashes sin sal, modos de cifrado inadecuados - todos fueron errores evitables incluso para los estándares de su época. La lección para los usuarios es simple: deja de reutilizar contraseñas, establece una contraseña fuerte y única para cada servicio, y activa la autenticación en dos pasos. Solo estos dos pasos reducen drásticamente el daño de cualquier filtración.

Yahoo (2013-2014) - 3 mil millones de cuentas y un descuento de 350 millones en la adquisición

La mayor filtración de contraseñas de la historia golpeó a Yahoo. El ataque de 2013 afectó a los 3 mil millones de cuentas, y otro ataque separado en 2014 expuso otros 500 millones. Lo sorprendente es que la brecha de 2013 no se reveló hasta 2016 - pasó desapercibida durante tres años. Yahoo hasheaba las contraseñas con bcrypt, pero algunas cuentas aún usaban hashes MD5 heredados. La historia detrás es famosa: la adquisición por parte de Verizon, originalmente de 4.800 millones de dólares, se redujo en 350 millones hasta 4.480 millones tras conocerse las filtraciones. La mala gestión de contraseñas costó literalmente miles de millones.

LinkedIn (2012) - El impacto del SHA-1 sin sal

En 2012, 6,5 millones de hashes de contraseñas de LinkedIn aparecieron en un foro de hackers ruso. Lo verdaderamente impactante fue el método: LinkedIn almacenaba las contraseñas como hashes SHA-1 sin sal. Sin sal, contraseñas idénticas producen hashes idénticos, haciéndolas fácilmente descifrables con tablas rainbow. La historia empeoró en 2016 cuando el conjunto completo - 117 millones de credenciales - apareció en mercados de la dark web por unos 2.200 dólares en Bitcoin. Cuatro años después de la filtración, los datos robados seguían monetizándose. Este incidente se convirtió en un ejemplo de manual de por qué el hashing con sal (idealmente bcrypt o Argon2) es innegociable. Para más información sobre cómo circulan las credenciales filtradas, consulta cómo las contraseñas terminan en la dark web.

Adobe (2013) - Cifrado descifrado como un crucigrama

La filtración de Adobe destaca no solo por su escala de 153 millones de registros, sino por su fascinante fallo técnico. En lugar de hashear las contraseñas, Adobe las cifró usando 3DES en modo ECB (Electronic Codebook). El defecto fatal del modo ECB es que texto plano idéntico siempre produce texto cifrado idéntico - es decir, cada usuario con "123456" tenía exactamente el mismo valor cifrado. Los investigadores de seguridad combinaron el análisis de frecuencia del texto cifrado con las pistas de contraseña (¡almacenadas en texto plano!) para identificar contraseñas como quien resuelve un crucigrama. El webcomic XKCD satirizó famosamente la situación, atrayendo atención generalizada.

Collection #1 y RockYou - Datos filtrados agregados y almacenamiento en texto plano

En enero de 2019, el investigador de seguridad Troy Hunt descubrió Collection #1 - una enorme agregación de 773 millones de direcciones de correo y 21 millones de contraseñas únicas compiladas de miles de filtraciones separadas. No fue un solo hackeo sino una compilación, evidenciando cómo la reutilización de contraseñas convierte una filtración en una llave maestra para múltiples cuentas. Si usabas la misma contraseña en un foro pequeño y en tu banco, Collection #1 conectaba esos puntos. Retrocediendo más, la filtración de RockYou en 2009 expuso 32 millones de contraseñas almacenadas en texto plano completo - sin hashing, sin cifrado, nada. La ironía es que este dataset se convirtió en el estándar de oro para la investigación de seguridad. La lista "rockyou.txt" viene incluida en herramientas de pruebas de penetración como Kali Linux y se usa mundialmente para probar la fortaleza de contraseñas. El fallo de seguridad de una empresa se convirtió en el benchmark de toda la industria.

Lecciones técnicas de cinco filtraciones

Alineando estos incidentes se revelan las mejores prácticas de almacenamiento de contraseñas. Primero, nunca almacenar contraseñas en texto plano (lección de RockYou). Segundo, siempre añadir sal al hashear (lección de LinkedIn). Tercero, al usar cifrado, evitar el modo ECB y elegir modos seguros como CBC o GCM (lección de Adobe). La mejor práctica actual es usar funciones hash "lentas" como bcrypt, scrypt o Argon2. Estas aumentan intencionalmente el costo computacional, haciendo los ataques de fuerza bruta impracticables.

Para profundizar en los fundamentos de la seguridad de contraseñas, libros de seguridad informática (Amazon) pueden ser un recurso útil.

Cómo verificar si tu correo ha sido comprometido

¿Crees que estás a salvo? Have I Been Pwned (HIBP), operado por Troy Hunt mencionado anteriormente, es un servicio gratuito que verifica si tu correo aparece en filtraciones pasadas. Hasta 2024, más de 14 mil millones de cuentas comprometidas están indexadas, y muchas personas se sorprenden al encontrar su dirección listada. Si se confirma una filtración, cambia la contraseña de ese servicio inmediatamente y actualiza todos los demás servicios donde reutilizaste la misma contraseña. Para los pasos detallados después de una filtración, consulta la guía de respuesta ante filtraciones.

Tres acciones que puedes tomar ahora mismo

  1. Verifica tu correo en Have I Been Pwned. Si aparece en alguna filtración, cambia esa contraseña inmediatamente y deja de reutilizarla. Consulta cómo defenderse del credential stuffing para entender por qué la reutilización es tan peligrosa
  2. Genera una contraseña única y fuerte para cada cuenta con Passtsuku.com. Apunta a 16 caracteres o más con alta entropía. Consulta la guía de creación de contraseñas seguras para mejores prácticas
  3. Activa la autenticación en dos pasos en todas las cuentas importantes. Incluso si tu contraseña se filtra, un segundo factor bloquea el acceso no autorizado

Preguntas frecuentes

¿Cuál es la mayor filtración de contraseñas de la historia?
La filtración de Yahoo en 2013 afectó a los 3 mil millones de cuentas. No se reveló hasta 2016 y provocó que Verizon redujera su oferta de adquisición en 350 millones de dólares.
¿Cómo puedo verificar si mi contraseña ha sido filtrada?
Ingresa tu correo en Have I Been Pwned (haveibeenpwned.com) para verificar gratis si aparece en filtraciones pasadas. Si se encuentra, cambia la contraseña de ese servicio y de todos los demás donde usaste la misma contraseña.
¿Qué es la "sal" de una contraseña y por qué es importante?
La sal es una cadena aleatoria añadida a una contraseña antes del hashing. Sin sal, contraseñas idénticas producen hashes idénticos, haciéndolas vulnerables a ataques de tablas rainbow. La filtración de LinkedIn es un ejemplo clásico del peligro de los hashes sin sal.

Artículos relacionados

Generar contraseñas →

Términos relacionados