A cualquiera que lleve unos cuantos años en Internet es difícil que no le haya sucedido en alguna ocasión, probablemente sin que lo sepa. Las últimas semanas se han encargado de demostrarlo de nuevo.
Mayo finalizó con la cuarta mayor filtración de datos de usuarios conocida hasta ahora. La plataforma de blogs Tumblr era la afortunada y 65 millones de cuentas con contraseña incluida aparecían disponibles en Internet. Pocos días antes se había publicado la que se considera la mayor filtración o leak de todas las que se han hecho públicas: más de 400 millones de cuentas de usuario de la proto red social MySpace. A mediados de mes era Linkedin de quien se conocía el robo de más de 100 millones de cuentas. Y retrocediendo un poco más, hasta principios de mes, se conocían leaks de servicios de correo tan populares como Gmail -24 millones de cuentas-, Hotmail –33 millones-, Yahoo Mail -40 millones- o Mail.ru -57 millones- que junto a otros menos conocidos sumaban la espeluznante cifra de 272 millones de cuentas de correo. Claro que más espeluznante es saber que, a pesar de estas cifras, un 85% de las brechas de seguridad y robos de datos que se producen no son conocidas.
Sí, los datos personales tienen una vida emocionante en Internet. Secuestros, robos, hackeos y filtraciones les acompañan desde hace muchos años, pero ha sido en esta década cuando su seguridad se ve comprometida de forma cada vez más regular. La primera solución ante cualquiera de estos casos es la de cambiar la contraseña pero, ¿cómo saber si uno está afectado?
Esa pregunta se la debió hacer hace unos años Troy Hunt, desarrollador de seguridad y creador de la herramienta gratuita Have I Been Pwned?, un buscador que navega entre los millones de usuarios y contraseñas que han sido filtrados a la Red en los últimos años e informa al usuario de si su información está comprometida y en que extensión. Have I Been Pwned no facilita ni almacena la información filtrada, sólo indica si el correo introducido está en las bases de datos y porqué, el alcance de la información personal filtrada y, lo mejor, permite establecer alertas de forma que si el correo utilizado en cualquier servicio se ha visto comprometido llega inmediatamente un aviso al usuario.
La labor de Troy es particularmente encomiable porque hace lo que no hacen muchas compañías afectadas que ni siquiera se dignan a informar a sus clientes cuando suceden estos casos. No ha sido el caso de la reciente brecha de seguridad de Linkedin, compañía que optó por tirar por el camino de en medio y resetear las contraseñas de las cuentas filtradas. Para cuando me llegó el correspondiente aviso de la compañía, hacía días que había tomado las medidas pertinentes gracias al aviso del bueno de Troy.
No es sensato esperar que el bueno de Troy cubra todas las filtraciones realizadas, pero ahora mismo es la mejor opción disponible. PwnedList.com es o era otro popular servicio de similares características a Have I Been Pwned? pero que además recopilaba la información filtrada en Internet. Una vulnerabilidad descubierta por otro experto en seguridad, Brian Krebs, permitía consultar directamente la información robada a otras compañías a cualquiera con los conocimientos y perspicacia necesarios, lo que ha llevado al cierre de la web por su autor hace pocos días.
Si alguien se pregunta que significa el recurrente pwned, es algo así como chuleado de forma particularmente molesta.