Filtración de credenciales - Cuando las contraseñas se hacen públicas

Lectura de 2 min aprox.

Una fuga de credenciales se refiere a que información de autenticación, como nombres de usuario, contraseñas, claves de API y tokens de sesión, cae en manos de terceros que no deberían tener acceso a ella. Es una categoría especialmente grave dentro de las filtraciones de datos, y las credenciales filtradas se convierten en combustible para los ataques de relleno de credenciales, haciendo que el daño se multiplique como una bola de nieve.

Vías de fuga

Existen muchas vías por las que se filtran las credenciales. La de mayor escala es una brecha de base de datos, en la que el servidor de un proveedor de servicios es atacado y las credenciales de los usuarios se filtran de forma masiva. Si se almacenaron contraseñas en texto plano que no habían sido procesadas con hash, el daño se propaga al instante. El phishing sigue siendo la vía de fuga más eficaz dirigida a individuos, siendo la táctica predominante inducir a las víctimas a introducir sus credenciales en una página de inicio de sesión falsa. El robo mediante malware como registradores de teclas y spyware, así como los delitos internos (datos sustraídos por empleados), también son vías que no pueden ignorarse.

Listas combinadas y comercio en la dark web

Las credenciales filtradas se organizan en un formato llamado «lista combinada». Se trata de archivos de texto que enumeran combinaciones de direcciones de correo y contraseñas, una entrada por línea, y listas de cientos de millones de entradas se comercian en los mercados de la dark web. Los precios varían según la frescura y la escala, y las listas no verificadas de filtraciones recientes alcanzan precios elevados. Los atacantes introducen estas listas en herramientas automatizadas y realizan una enorme cantidad de intentos de inicio de sesión contra múltiples servicios. Dado que, para los usuarios que reutilizan contraseñas, la filtración de un solo servicio puede llevar al compromiso de todas las cuentas, es importante comprender correctamente los riesgos de reutilizar contraseñas.

Cómo funciona Have I Been Pwned y cómo usarlo

Have I Been Pwned (HIBP), operado por el investigador de seguridad Troy Hunt, es un servicio gratuito que permite buscar direcciones de correo y contraseñas que se hayan filtrado en incidentes de brecha anteriores. A fecha de 2024, hay registrada en su base de datos información de más de 13 000 millones de cuentas comprometidas. La API de búsqueda de contraseñas de HIBP adopta el modelo k-Anonymity: envía al servidor solo los primeros 5 caracteres del hash SHA-1 de la contraseña, recibe una lista de hashes coincidentes y los compara localmente. Como resultado, la contraseña que se busca nunca se envía al servidor. Se recomienda que los equipos de seguridad de las empresas integren la API de HIBP en su flujo de autenticación para bloquear el registro con contraseñas ya filtradas.libros de seguridad de la información (Amazon) también ofrecen conocimientos sistemáticos sobre las contramedidas frente a las fugas.

La cadena de daños tras una fuga

El daño de una fuga de credenciales no termina con la fuga inicial. Mediante ataques de relleno de credenciales que usan las credenciales filtradas, se van apropiando una tras otra de las cuentas en otros servicios donde se reutiliza la contraseña. De las cuentas secuestradas se extrae más información personal, que se abusa como material para el spear phishing, generando una reacción en cadena. Si se compromete una cuenta de un servicio financiero, conlleva un daño económico directo, y si se compromete una cuenta de correo, todos los servicios quedan en peligro a través de los restablecimientos de contraseña.

Contramedidas para empresas y particulares

Como contramedidas del lado de la empresa, lo básico es almacenar las contraseñas como hashes con sal (usando bcrypt o Argon2), implantar sistemas de detección de fugas y elaborar un plan de respuesta a incidentes. Consulta también la guía de respuesta a filtraciones de datos. Como contramedidas para los particulares, lo más eficaz es generar una contraseña única para cada servicio con un gestor de contraseñas y habilitar la autenticación de dos factores. Si te registras en la función de notificación de HIBP, recibirás una alerta inmediata cada vez que tu dirección de correo aparezca en un nuevo incidente de filtración. Conocer la realidad de las fugas de contraseñas en la dark web también te ayudará a juzgar correctamente la prioridad de tus contramedidas.