Con los años son muchas páginas webs y servicios online que han sido hackeados por grupos de ciber-delincuentes, a veces los usuarios de esas cuentas ni siquiera se llegan a enterar de que su seguridad ha sido comprometida y en muchos otros casos ni se preocupan hasta que tienen motivos para creer que alguien las ha utilizado de forma malintencionada.
Debido a estos hackeos se generan listas que contienen correos electrónicos y contraseñas. En la mayoría de casos estas listas son vendidas casi como si de al peso se tratase y una vez que ya están demasiado quemadas se filtran a internet. Los grupos que consiguen tener acceso a estos correos y contraseñas habitualmente los utilizan para extorsionar a las víctimas del hackeo.
Localizar tu cuenta hackeada con Have I Been Pwned?
Debido a la gran cantidad de datos que se roban durante estos hackeos, podría ser un tema bastante tedioso el llegar a averiguar tu correo electrónico y contraseña de entre todas las víctimas que han visto comprometida su seguridad.
Afortunadamente, siempre hay gente altruista que quita tiempo de su tiempo libre para ayudar a los demás. Este es el caso de Troy Hunt, que es un alto cargo dentro de Microsoft, y que ha desarrollado una página web llamada “Have I Been Pwned?” que puede ayudar a que muchos usuarios averigüen si sus datos de acceso a algún servicio han sido comprometidos.
La forma en la que funciona esta página web es relativamente sencilla, simplemente tienes que introducir tu dirección de correo electrónico y contraseña en el cuadro de diálogo y hacer clic en el botón “pwned?”. Después de unos segundos la web te mostrará información sobre la seguridad de los datos que has aportado.
En el caso de que tu correo electrónico y contraseña sean seguras, la web te mostrará una etiqueta de color verde informándote de que no aparecen tus datos en su base, con lo que podría considerar que en estos momentos son seguros.
En el caso de que hayas sido hackeado, la base de datos arrojará una advertencia de color rojo que te indica que es probable que alguien esté accediendo a tus datos con malas intenciones.
Ejemplo de un correo electrónico registrado en 8 servicios y webs que han sido hackeados. Es un ejemplo real y se indican los lugares donde estaba registrado y las fechas.
En el caso de que simplemente busques tu dirección de correo electrónico o el nombre de usuario para acceder a diversos servicios, esta página web también destacará los hackeos a los que pueden haberse visto expuestos.
La información que se ha utilizado en la creación de Have I Been Pwned? se ha obtenido volcando las listas de webs Anti Public y Exploit.in. Por tanto, se podría decir que esta web es bastante precisa cuando se trata de identificar si una contraseña ha sido comprometida o no.
Otros servicios para comprobar si has sido hackeado
No solamente está disponible Have I Been Pwned? en internet, sino que hay muchos otros que funcionan prácticamente del mismo modo y que pueden servirte para complementar esta información y quedarte más tranquilo.
De hecho, existe un servicio en español creado por José M. Chia, llamado ¿He sido hackeado? que funciona de un modo muy parecido y se hace eco de los últimos robos de contraseñas que han surgido. Durante las pruebas realizadas este servicio fue capaz de encontrar 15 posibles hackeos del mismo correo por 8 del servicio Have I Been Pwned? para el correo de la imagen que sale arriba, con el correo que sale a continuación ninguno de los dos servicios fue capaz de detectar ningún posible hackeo.
Ejemplo de un correo no hackeado.
Tal y como se puede leer en su página web, coge sus datos de diferentes filtraciones a Internet y es una web segura que además de utilizar protocolo SSL también tiene versión en inglés.
En inglés existen muchos otros servicios parecidos de entre los que me gustaría destacar BreachAlarm y HPI Identity Leak Checker.
Mi correo no ha sido hackeado, ¿estoy totalmente seguro?
La respuesta rápida es que no, que no aparezca en estas webs no significa que estés totalmente a salvo ni mucho menos, pero si que en un principio parece que tus datos están a salvo.
El propio Hunt afirma que su web no es perfecta y que son los usuarios los que deben preocuparse de mantener a raya la seguridad de sus cuentas.
Además, Hunt recuerda a los usuarios de su web que nunca introduzcan en ella ni en ningún lugar poco confiable una contraseña que estén utilizando actualmente para un servicio que les importe, ni siquiera en la suya. Y eso a pesar de que su web no registra contraseñas.
Hunt cree que no es un decisión demasiado inteligente el introducir cualquier tipo de contraseña en una web cualquiera y de forma alocada.
