617 millones de cuentas robadas de 16 sitios web ya están a la venta, ¿está en riesgo?

Ha sido un comienzo difícil para la ciberseguridad en 2019, ya que los piratas informáticos han estado ocupados vendiendo sus productos para anunciar el nuevo año. En enero, informamos sobre la Colección n. ° 1, un caché de datos que afecta a casi tres cuartos de mil millones de cuentas de correo electrónico y más de 20 millones de contraseñas de alrededor de 2,000 bases de datos filtradas.


¿Cómo puedes saber si un vendedor de eBay es legítimo?

Dos semanas después, se reveló la existencia de otras cuatro memorias caché de datos, llamadas Colecciones # 2 a # 5, que exponen otros 2.200 millones de nombres de usuario y contraseñas únicos.




Y parece que los éxitos seguirán llegando. Parece que otro tesoro masivo de detalles de la cuenta está en juego en la web oscura. ¿Sus datos están en riesgo?



Otro conjunto de credenciales de usuario robadas está en juego

Esta semana, alrededor de 617 millones de detalles de cuenta robados de 16 sitios web comprometidos ahora están a la venta en la web oscura. ¿El precio de venta del vendedor por los datos robados? Menos de $ 20,000 en Bitcoin.

El registro reveló que las bases de datos se detectaron en un sitio de comercio subterráneo llamado The Dream Market, y las muestras analizadas de la colección parecen ser legítimas. El caché de datos incluye nombres de titulares de cuentas, direcciones de correo electrónico y contraseñas. Sin embargo, las contraseñas están cifradas en hash o unidireccionales, por lo que deben descifrarse antes de que puedan usarse.

También se expusieron otras formas de información, según el sitio y el servicio, incluida la ubicación, los datos personales y los tokens de autenticación de redes sociales. Afortunadamente, parece que no hay detalles de pago y bancarios en las listas de ventas.

Pero, ¿qué es exactamente la web oscura? Haga clic a continuación y escuche cómo Kim Komando lo analiza en este episodio de podcast de dos partes:

¿Por qué son tan valiosos estos datos?

Estas grandes bases de datos de detalles robados son valiosas por una razón. Los hackers pueden usar la información para una técnica llamada 'relleno de credenciales'. Esto es cuando alguien alimenta las credenciales a un programa automatizado que las prueba en varios sitios web, con la esperanza de que las personas hayan reutilizado sus contraseñas en múltiples servicios.

Por ejemplo, un hacker determinado puede descifrar las contraseñas cifradas más débiles de la lista y luego probar las combinaciones de correo electrónico y contraseña en servicios más críticos como Google, Facebook o sitios bancarios.


si celular

Lista de sitios comprometidos

Los sitios incluidos en la lista son una mezcla de aplicaciones de mensajería, sitios de redes sociales de fitness y fotografía, portales de juegos e incluso un servicio de rastreo de árboles genealógicos de ADN.




Algunos de los servicios, como MyHeritage y MyFitnessPal, han revelado públicamente sus violaciones de datos el año pasado, pero es la primera vez que escuchamos sobre los otros.

¿Tienes una cuenta con estos servicios? Aquí hay una lista de los sitios comprometidos:

  • Dubsmash (162 millones de cuentas)
  • MyFitnessPal (151 millones de cuentas)
  • MyHeritage (92 millones de cuentas)
  • ShareThis (41 millones de cuentas)
  • HauteLook (28 millones de cuentas)
  • Animoto (25 millones de cuentas)
  • EyeEm (22 millones de cuentas)
  • 8fit (20 millones de cuentas)
  • Páginas blancas (18 millones de cuentas)
  • Fotolog (16 millones de cuentas)
  • 500 px (15 millones de cuentas)
  • Juegos de armadura (11 millones de cuentas)
  • BookMate (8 millones de cuentas)
  • CoffeeMeetsBagel (6 millones de cuentas)
  • Artsy (1 millón de cuentas)
  • DataCamp (700,000 cuentas)

¿Ahora que?

Si sospecha que sus cuentas son parte de filtraciones de datos anteriores, es un buen momento para revisar todas sus credenciales en línea. Esta es una buena razón por la cual nunca debe reutilizar la misma contraseña para múltiples servicios y sitios web en línea. Haga clic aquí para conocer nuevas formas de crear una contraseña segura.


pantalla de bloqueo de número de iPhone

También puede consultar su correo electrónico en un servicio como Have I Been Pwned. Este sitio web verificará si su dirección de correo electrónico ha sido parte de una violación de datos. Nota: Google ha lanzado su propia herramienta de verificación de contraseña de Chrome. Haga clic aquí para aprender cómo habilitarlo.




Además, si aún no lo ha hecho, verifique sus servicios si admiten la autenticación de dos factores (2FA) y actívela. 2FA le brinda una capa adicional de seguridad que lo ayudará a mantener sus cuentas seguras.

Y mientras lo hace, mejor cierre las cuentas antiguas que rara vez usa. Aquí hay una herramienta en línea que lo ayudará a hacer exactamente eso.