Haveibeenpwned.com es un sitio web que permite verificar si nuestro correo electrónico se ha visto comprometido por algún robo de información que también deje expuesta la contraseña. Se basa en los ataques que han recibido distintas empresas como Adobe, Yahoo y Sony en los últimos tiempos que en total afectaron a más de 150 millones de usuarios.
La herramienta fue creada por el investigador Troy Hunt y sólo verifica si la dirección de correo se encontraba en alguna de las bases de datos robadas y que luego fueron publicadas en internet. Si es así, cualquier atacante podría tener acceso a la contraseña de esa cuenta y si es la misma que se utiliza en otros servicios ya te imaginarás lo que puede llegar a suceder.
De hecho cuando Troy comenzó a crear el sitio, comparando los datos detectó que muchos de los usuarios repetían las contraseñas en los distintos servicios. Por ejemplo, el 59% de los usuarios afectados de Yahoo utilizaban la misma contraseña en sus cuentas de Sony.
Estos grandes ataques y robos de información han ocurrido en los últimos 3 años, siendo el más reciente el de Adobe donde se comprometieron 153 millones de cuentas. El problema fue tan grave que incluso empresas como Facebook obligaron a los usuarios cambiar sus contraseñas si detectaban que la misma la utilizaban en la cuenta robada de Adobe.
Haveibeenpwned.com no es la única herramienta de su clase, algunas compañías de seguridad también lanzaron las suyas en su momento para que los usuarios puedan verificar rápidamente si su información se encuentra entre los datos robados.
LastPass, el reconocido gestor de contraseñas, también publicó una web lastpass.com/adobe/ donde en base a la información robada de Adobe podemos verificar si somos una de las víctimas:
Incluso te informa cuántas personas utilizaban tu misma contraseña en sus cuentas de Adobe y por e-mail te la envían por si no la recordabas.
En mi caso esta funcionalidad me vino como anillo al dedo porque tenía una cuenta de Adobe que no utilizaba hace años y no recordaba la contraseña. De esta forma la pude recuperar fácilmente y como no la utilizaba en ningún otro servicio de internet no tuve que preocuparme demasiado.
Lo interesante de Haveibeenpwned.com es que recopila los e-mails de varias bases de datos, no solo la de Adobe y en el futuro el creador planea seguir agregando más. Está claro que si uno nunca se hizo una cuenta en estos servicios que fueron atacados no tiene por qué preocuparse, pero ante la duda la herramienta puede ser de mucha utilidad.
Al mismo tiempo podría ser utilizada con malas intenciones, si bien no almacena las contraseñas, un atacante podría verificar rápidamente si el e-mail de su víctima se encuentra expuesto y luego sería cuestión de buscar en internet las bases de datos completas para descargarlas.
Contraseñas diferentes:
Esta es una razón más por la cual hay que evitar utilizar la misma contraseña para todo, pues si nos roban una nos pueden terminar hackeando toda nuestra vida en internet. Al menos habría que utilizar contraseñas diferentes para los servicios más importantes como el e-mail, las redes sociales y los servicios bancarios.
Si el problema está en recordarlas, se puede acudir a los gestores de contraseñas como LastPass que funciona directamente en el navegador o KeePass que es un programa de escritorio compatible con Windows, Linux y Mac que además dispone de algunos clones para dispositivos móviles como KeePass2Android y otros varios para iOS.