Experto en ciberseguridad sobre las filtraciones masivas de datos: "Tu contraseña lleva meses circulando por internet y tú tan tranquilo"

Más allá del consejo de siempre con respecto a las contraseñas débiles, que son realmente muy sencillas de adivinar, puede que tanto tus datos como las propias contraseñas lleven meses en internet sin que lo sepas. Esto es de lo que alerta el experto en informática Don Paquito vía TikTok. 

El problema aquí no es que un hacker haya entrado directamente en tu móvil u ordenador, sino que los ciberdelincuentes han hackeado los servidores de grandes plataformas donde compras, juegas o trabajas. Al robar los archivos de esas empresas, se llevan listas gigantescas con millones de correos y claves que luego se venden en la dark web al mejor postor.

De ahí que muchos usuarios reciban correos raros o intentos de acceso en sus perfiles sin entender muy bien el motivo y sabiendo que, por su parte, han hecho siempre bien las cosas. 

Esto es algo de lo que los expertos llevan años avisando. Muchos grupos de ciberdelincuentes no van buscando a personas concretas, sino que utilizan programas automáticos que prueban los datos robados en cientos de páginas web a la vez. Si cometes el error de usar la misma contraseña para el correo electrónico, la cuenta del banco y una red social, les estás regalando las llaves de acceso a todo. 

Por eso, que una sola compañía cometa un error de ciberseguridad (que ya ves que es realmente sencillo por las noticias que salen cada día) puede acabar provocando un agujero enorme en tu privacidad.

A todo esto se le suma que, a veces, las compañías tardan semanas o incluso meses en descubrir que han sufrido un ataque en sus sistemas, y otros tantos en avisar a sus usuarios o clientes. Durante todo ese tiempo, los datos de acceso se comparten en foros. Cuando te llega el correo de aviso para que cambies tus credenciales, el daño ya está hecho.

Con todo esto, Don Paquito nos ofrece una forma de saber si alguna de nuestras credenciales realmente se ha visto comprometida. "Entra en tu gestor de contraseñas de Google y accede a Revisión. Este número de aquí arriba que te sale en rojo significa que muchas de tus contraseñas están completamente vendidas".

Añade una segunda forma de comprobar: la mítica web Have I Been Pwned, donde solo tienes que escribir tu dirección de correo electrónico. El sistema contrastará tu dirección con las listas de los mayores robos de la historia y te dirá en qué plataformas se han filtrado tus datos y qué tipo de información ha quedado expuesta. Si tu correo sale marcado en rojo, significa que deberías cambiar las credenciales.

Esta es la nueva arma de los hackers para hacerse con tus contraseñas

Rizando el rizo, y para que veas lo realmente importante que es que protejas tus contraseñas y revises de vez en cuando su estado, la realidad es que los hackers no necesitan grandes ordenadores para hacerse con tus claves. No necesitan una potencia de cálculo increíble si saben exactamente qué palabras usas en tu día a día. La IA ni es necesaria para adivinarlas porque, una vez más, los humanos son demasiado predecibles.

Cuando una empresa te obliga a cambiar la contraseña cada tres meses y te pone reglas de complejidad, te inventas algo aleatorio y, normalmente, buscas algo que tienes delante. Los atacantes lo saben y han empezado a usar herramientas que leen tu entorno antes de atacarte.

Aquí es donde entra en juego una herramienta que está en boca de todos los expertos en seguridad: CeWL. Es un programa de código abierto que se dedica a rastrear sitios web para absorber todas las palabras que aparecen.

En lugar de intentar adivinar tu contraseña probando 123456, este software crea una lista personalizada con los términos que tú y tu entorno usáis constantemente.

Una vez que tiene toda esa jerga corporativa, el hacker ya tiene el 90% del trabajo hecho. Ya no tiene que probar millones de combinaciones al azar; solo tiene que coger esas palabras y añadirles el típico 2026!, una mayúscula al principio o un símbolo de exclamación al final.

El gran consejo es que te pases a los gestores de contraseñas o, mejor aún, a las passkeys o llaves digitales. Si la clave la genera una máquina de forma aleatoria, no hay rastro web ni palabra corporativa que valga para adivinarla.