Más de 184 millones de credenciales expuestas en una base desprotegida

La exposición pública de 184 millones de credenciales de acceso —usuarios y contraseñas— fue revelada por el investigador de seguridad Jeremiah Fowler, quien la descubrió y dio a conocer a WebsitePlanet. Se trata de una base de datos que se encontraba accesible públicamente, sin ningún tipo de protección, y contenía un total de 47,42 gigabytes de información de usuarios y cuentas en todo el mundo.

Posiblemente, esta base sea el resultado de la recopilación de información mediante infostealers (robo de información), según teoriza Fowler.

Qué contenía la base de datos expuesta públicamente

Los servicios afectados fueron variados y, para dar una idea de la magnitud de la filtración, se incluyen en los registros desprotegidos y hechos públicos de diversos proveedores de servidores de correo electrónico, productos de Apple, Google, Facebook, Instagram, Snapchat, Roblox, por nombrar algunos.

El investigador reveló que también se hallaron entre los registros credenciales de bancos y otras entidades financieras, plataformas de atención de salud y portales de gobiernos de varios países.

No se sabe si la base de datos fue utilizada para actividades criminales o si esta información fue recolectada con fines legítimos de investigación y posteriormente expuesta por descuido. Tampoco se conoce cuánto tiempo estuvo expuesta la base antes de que la descubriera, o si alguien más pudo haber accedido a ella.

Posible actividad infostealer

Según el propio investigador, la información expuesta es probable que haya sido recolectada a través de malware tipo infostealer, diseñado específicamente para infectar sistemas y robar información sensible (usualmente credenciales de acceso como correos electrónicos y contraseñas). Es probable que no se trate de una intrusión directa o vulnerabilidades en los sistemas de los servicios que sufrieron la exposición.

Por ejemplo, el sitio Mashable consultó a algunas de las plataformas y, por ejemplo, Snapchat no encontró vulnerabilidades en sus redes, lo cual coincide con la teoría del investigador.

A pesar de que no está del todo claro el origen de estos datos, es un buen momento para recordar la importancia de estar atentos a este tipo de malware, que se encuentra en crecimiento y es una amenaza silenciosa. El ESET Threat Report del último semestre del año pasado ya había mostrado un alza de la actividad de estos tipos de malware.

“Esta filtración reciente resalta una vez más lo fácil que es que millones de piezas de información sensible, incluyendo correos electrónicos y contraseñas, puedan ser accedidas por programas diseñados para robar información”, afirma Jake Moore, Global Security Advisor de ESET.

¿A qué peligros están expuestos los usuarios?

Ataques de credential stuffing (relleno de credenciales). Si sueles utilizar la misma contraseña para múltiples cuentas, y esta es filtrada, los hackers pueden sacar provecho mediante esta técnica que consiste en intentar distintas combinaciones de contraseñas y usuarios en distintos sitios.

Control de tu cuenta. No es difícil pensar que si tienen tu contraseña y usuario pueden simplemente tomar control de tu cuenta y robar tu identidad para cometer estafas en tu nombre, o incluso, acceder a infinidad de documentos personales que en muchos casos se alojan en la cuenta de correo electrónico. Por supuesto, toda esta información puede ser usada para crear campañas de phishing e ingeniería social mejor diagramadas, gracias a la información personal que obtienen.

Ataques a de ransomware o espionaje.  Una cuenta corporativa vulnerable puede ser la Puerta de entrada para este malware, e incluso, similar al punto anterior, los atacantes pueden obtener información valiosa alojada en el servidor de correo electrónico.

Cómo actúan los infostealers

Este tipo de malware usualmente apunta a credenciales (como nombres de usuario y contraseñas) almacenadas en navegadores web, clientes de correo electrónico y aplicaciones de mensajería. Algunas variantes también pueden robar datos de autocompletado, cookies e información de billeteras de criptomonedas —algunas incluso pueden capturar pantallas o registrar pulsaciones de teclas.

Por ejemplo, suelen ocultarse dentro de correos electrónicos de phishing, sitios web maliciosos o software crackeado. Una vez activo, los datos robados suelen circular en mercados de la dark web y canales de Telegram, o ser utilizados directamente para cometer fraudes, intentos de robo de identidad o lanzar nuevos ciberataques.

Una vez localizados, los ciberdelincuentes pueden simplemente usar técnicas de fuerza bruta, como el credential stuffing, para atacar cuentas en línea protegidas con medidas mínimas de seguridad.

Por lo tanto, se recomienda a los usuarios habilitar la autenticación multifactor en todas sus cuentas y evitar reutilizar contraseñas.

Cómo prevenirse

En un constante devenir de los ciberataques cada vez más sofisticados y a los que hay que prestar atención y mantenerse actualizado en sus tácticas, sigue habiendo medidas sencillas que podemos tomar, que es importante repasar una y otra vez:

• Activa la autenticación en dos pasos (2FA). Esto añade un paso extra que se convierte en una barrera efectiva para evitar que si alguien consigue tu contraseña acceda sin autorización a tu cuenta.
• Verifica si tus credenciales han sido expuestas. Para esto puedes utilizar servicios como Have I Been Pwned que permiten saber si tu correo electrónico aparece en filtraciones conocidas.
• Monitorea la actividad de tus cuentas y activa las notificaciones de actividad. Algunas plataformas permiten recibir alertas por inicios de sesión sospechosos o ver desde dónde se accede a tu cuenta.
• Utilizar un gestor de contraseñas. Que además de guardar las contraseñas de manera segura, también mejoran los hábitos de uso de credenciales.
• Instala una solución antimalware de confianza. Un antivirus actualizado puede detectar y eliminar malware como infostealers. Soluciones como EDR (detección y respuesta en endpoints) identifican comportamientos anómalos en el sistema.