Una nueva base de datos con 71 millones de cuentas hackeadas se ha puesto a la venta en la Dark Web. Contiene al menos un 30% de contraseñas que no habían sido hackeadas antes, así que se trata de un "lote" nuevo. Te mostramos cómo puedes comprobar si tus cuentas, o algunas de tus contraseñas, están en la base de datos.

El fichero con las cuentas hackeadas se llama Naz.API, y ha sido descubierto por el experto en seguridad Troy Hunt, uno de los creadores de la web Have I been pwned?, que te dice si alguna vez has sido hackeado.

El fichero contiene 319 archivos, y ocupa 104 GB. Están las credenciales de 70.840.771 cuentas, y el 35% no están en la base de datos de Have I been pwned? Eso significa que, posiblemente, es la primera vez que las hackean.

Un vistazo al último hackeo: Naz.API

Troy Hunt ha comprobado que el hackeo es real, probando los correos y contraseñas de muestra que ofrecía el vendedor, y poniéndose en contacto con las víctimas. Algunas de ellas aseguran que usaron esas contraseñas en 2021, así que los hackeos son relativamente recientes. Los usuarios que no cambian las contraseñas a menudo, están en un serio peligro.

Por lo visto, buena parte de los robos de cuentas y contraseñas se han producido usando malware, porque en la lista de prueba de los vendedores se muestran correos y contraseñas en texto plano, tal como puedes ver aquí:

Las contraseñas sin encriptar indican que se han obtenido a través de logs o de un keylogger que guarda todo lo que tecleas en el teclado, es decir, un malware. Cuando hackean un servicio o aplicación y roban las cuentas de sus clientes, las contraseñas suelen estar encriptadas.

Otra parte proviene de lo que los expertos llaman credential stuffing, una forma de ataque de secuestro de cuentas que recopila un gran número de credenciales de cuentas robadas en filtraciones anteriores, mezclándolas. Si en un hackeo te robaron el correo y en otro la contraseña, al juntarlos se obtienen las dos cosas. También si usas la misma contraseña en varias cuentas.

Como vemos en la imagen, pertenecen a todo tipo de webs, incluyendo Facebook, Roblox, eBay o Yahoo!

Esta hacker te enseña a detectar si un ciberdelincuente ha entrado en tu móvil en segundos

Toda la base de datos de cuentas robadas ya se ha incluido en Have I been pwned?  Simplemente entra en la web e introduce tu correo o contraseña, para ver si han sido hackeados. Es una página completamente segura y privada, ya que ha sido creada completamente gratis por expertos en seguridad, como una ayuda para los afectados.

Para evitar problemas, usa siempre contraseñas robustas, y cámbialas cada pocos meses.

La nueva base de datos con 71 millones de cuentas a la venta en la Dark Web, contiene un 25% de contraseñas nunca antes hackeadas. Comprueba que no estén las tuyas, por si acaso...