14 de septiembre de 2014

MEDIOS. Gmail cambia la contraseña

Hace unos días un usuario bajo el nick 'tvskit' publicó una entrada en un foro ruso sobre Bitcoin, la moneda virtual. El título de la entrada venía a decir: "GMail, cambia la contraseña". En ella adjuntaba un archivo de texto con casi 5 millones de credenciales de cuentas de correos. Nombre de usuario y contraseñas en texto plano, nada de hashes.
 Al poco, uno de los administradores del foro editó el archivo borrando las contraseñas, dejando solo los nombres de usuario. De esta forma evitaban posibles problemas legales y a su vez permitía que todo aquel que quisiera pudiese bajar el archivo para consultar si alguna de sus cuentas estaba allí.
 La gran mayoría de cuentas pertenecen al dominio de gmail.com. El resto a yandex.ru y una a mail.ru. Curiosamente, estos dos últimos dominios habían sido objeto de una filtración similar hace pocos días y de una magnitud (millones) semejante.
 Hubo medios que se apresuraron a publicar la noticia dejando en el aire la posibilidad de que los servidores de GMail pudiesen haber sido objeto de un ataque. Google no esperó mucho para despejar la incógnita. A través de una entrada en el blog de "Google Online Security", explicaron que ellos ya detectan activamente este tipo de filtraciones y que tan solo el 2% de las cuentas no estaban completamente operativas y eran accesibles. Sin embargo otras fuentes elevan esa tasa al menos al 60% de las cuentas.
¿Entonces no hubo ataque?
·    No hay motivos que indiquen que haya sido una brecha. Si observamos el archivo todas las credenciales aparecen en texto plano, es habitual que las filtraciones de credenciales tengan la forma de usuario/hash, por supuesto si el sitio atacado no almacena las contraseñas en texto plano, que los hay. A veces también es común que parte de los hashes más comunes hayan sido previamente pareados, no es el caso.
·   Este tipo de filtraciones son comunes. Solo basta hacer una búsqueda en determinados sitios y salen cientos de cuentas. Esto ha llegado a los titulares por el tamaño del archivo y por ello  a quien salpicaes a Google.
·     Si tuviésemos que dar una explicación del origen y la causa de la filtración probablemente apuntaríamos al mercado negro. Un archivo así, "fresco", vale un buen montón de dinero. Por fresco nos referimos a la validez de las cuentas. Si tienes un archivo con un millón de cuentas de hace varios años la gran mayoría de cuentas o habrán cambiado credenciales o habrán sido abandonadas por sus usuarios. Eso no vale nada.
 ¿De donde salen esas cuentas?
·     Phishing y troyanos por supuesto. Es la manera más fácil, masiva y sencilla para robar cuentas. No tienes que atacar servidores ni trabajar sobre los hashes, basta con un phishing o un troyano efectivo para que poco a poco el archivo de credenciales robadas crezca.
·     Evidentemente cinco millones de cuentas no es el fruto de un par de meses recolectando. Ese archivo, probablemente, comenzó hace años a recibir entradas. Incluso es posible que su origen sea la concatenación de otros muchos archivos más pequeños.
RECOMENDACIÓN
¿Cómo puedo asegurar mi cuenta?
  •  Cambia tu contraseña si ha pasado mucho tiempo, elige una contraseña segura y aprovecha todas las funcionalidades de seguridad que te ofrece el sitio: doble factor autenticación, etc.
¿Cómo puedo saber si mi cuenta está en ese archivo?
·       Existen muchos servicios por Internet donde puedes consultar esta duda, sin embargo cuidado, el hecho de meter una cuenta de correo en uno de estos sistemas podría conllevar el riesgo de que tu cuenta pase a engrosar una lista de spam. Si nos pides recomendación hemos usado varias veces el que administra Troy Hunt: https://haveibeenpwned.com
·        Otra manera de conocer si tu cuenta ha sido filtrada es notar un aumento de spam en la bandeja de entrada ¿Has recibido publicidad no deseada sobre ropa interior con sabor?
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas: , , ,