El experto y consultor de seguridad Mark Burnett decidió publicar 10 millones de contraseñas en Internet en un sólo fichero de texto que expone contraseñas reales de millones de personas, que además están asociadas a nombres de usuario.
PUBLICIDAD
Burnett publicó esta lista que ha confeccionado a partir de diferentes bases de datos filtradas en Internet. Aclara que todos estos nombres de usuario y contraseñas, organizados en orden alfabético, son de ataques a sitios y que se pueden conseguir si buscas lo suficiente.
También asegura que todas estas contraseñas son antiguas y no hay ninguna que corresponda con ataques sucedidos hace poco. Si Burnett incluyese información de algún ataque reciente, no estaría dando tiempo suficiente a usuarios y empresas de bloquear esas cuentas, por lo que estaría directamente cometiendo un crimen.
Las contraseñas son de filtraciones antiguas
No he incluido contraseñas que requieran cracks, pagos, acceso exclusivo a foros, o cualquier cosa que no esté disponible al público general. Deberías ser capaz de encontrar un gran número de estas contraseñas con una búsqueda en Google.
Desde un punto de vista tecnológico, Burnett simplemente ha seleccionado varias bases de datos y las ha combinado. Sin embargo, genera bastante revuelo que este fichero esté disponible de una forma tan sencilla por una simple cuestión: está muy expuesto.
El problema no es que se combinen diferentes bases de datos, sino que las expone de forma sencilla para que cualquier persona pueda crear una base de datos con cientos de miles de contraseñas reales posibles. Esto facilitaría el trabajo a quienes pretendan efectuar un ataque de fuerza bruta a alguna cuenta.
Dicho esto, la realidad es que en foros privados y en ciertos lugares de Internet es posible encontrar bases de datos de contraseñas que contienen miles de ellas.
¿El FBI debería arrestarlo?
Si una persona publica en Internet tu nombre de usuario y contraseña está incumpliendo la ley. Pero cuando publicas 10 millones de usuarios, la infracción es la misma. Entonces ¿debería el FBI arrestar a Burnett? Él, evidentemente, explica que no.
PUBLICIDAD
En el caso de liberar usuarios y contrastes, la intención no es el fraude, facilitar acceso no autorizado a equipos informáticos, robar la identidad de otros, ayudar a otros crimen o hacer daño a personas o entidades. La única intención es promover la investigación con el objetivo de hacer de la autenticación algo más seguro y, por tanto, proteger contra el fraude y el acceso no autorizado.
La base de datos lanzada es un trabajo de varios años y como comenta, la intención es la búsqueda de patrones, de ver cómo la gente elige sus contraseñas para mejorar los sistemas que usamos todos los días, que aunque parezcan seguros, es preciso contar con una buena contraseña segura y que no se repita.
¿Deberían las empresas de Internet hacer que, por ejemplo, no sea posible volver a usar estas contraseñas?
A la hora de publicar este artículo, el torrent que Burnett subió ha sido descargado por más de 60.000 personas. Es evidente que este número aumentará exponencialmente y que, además, luego le añadirán más, lo trocearán e incluso podrían venderlo a pesar de que es gratuito.
Recuerda, la seguridad es una ilusión.