Los robos masivos de contraseñas están a la orden del día. Los ciberdelincuentes conocen el valor de los identificadores y las claves para todo tipo de servicios de Internet, incluyendo el correo electrónico y los accesos a cualquier clase de sitio web, incluyendo tiendas en línea y banca electrónica. De hecho, hasta existen redes de ordenadores zombis especializadas en la tarea, como Pony Botnet, descubierta este año. Acaba de conocerse que la red Pony Bobnet ha facilitado el robo de casi dos millones de contaseñas. De esa cifra 1,58 millones de credenciales corresponden a sitios como Google, Facebook, Twitter, Yahoo o LinkedIn, entre otros. Pony Botnet utiliza un potente malware con funciones de capturador de teclado y espía (spyware) que actúa con Windows y registra datos sensibles de numerosas aplicaciones, como el correo electrónico y la web.
No es el único caso. En octubre de este año, Adobe era víctima de un ataque donde se comprometieron los datos de casi 153 millones de cuentas, incluyendo nombres de usuario, claves y direcciones de e-mail. Y hace poco más de dos semanas, Sony restauraba las contraseñas de PlayStation Network en Europa y Estados Unidos como medida preventiva. No es de extrañar, porque 2011 fue un año negro para la compañía japonesa. En abril de 2011 robaban los datos de 77 millones de usuarios registrados en su plataforma de videojuegos en línea, viéndose obligada a cerrarla durante casi un mes. Ante sucesos como éstos, los internautas se preguntan si sus claves están a salvo o si se encuentran entre las sustraídas.
Una manera de averiguarlo es consultar bases de datos públicas donde se recoge una porción de las cuentas comprometidas. Como Haveibeenpwned, un sitio que reúne los datos relacionados con seis grandes ataques, entre los que figuran el de Adobe en octubre de este año y el de Sony en 2011. Aparte está el casi medio millón de cuentas de Yahoo, robadas en agosto de 2012, y las 38.000 millones de credenciales de Pixel Federation, una comunidad de videojuegos en línea, saqueadas este mismo mes de diciembre. El buscador de Haveibeenpwned también engloba las casi 860.000 claves que Anonymous capturó en diciembre de 2011 a la compañía de inteligencia Statfor y el botín de más de medio millón de credenciales que el colectivo de piratas Gnosis conseguía arrebata al grupo estadounidense de medios de comunicación Gawker.
Otro sitio donde comprobar si la contraseña está en riesgo es Should I Change My Password. Permite consultar gratis direcciones de correo electrónico, pero es la puerta a un servicio de pago que ofrece Avalanche Technology, que actúa como una especie de vigía de direcciones de e-mail. A cambio de una cuota anual de 10 dólares, vigilan diez buzones de correo electrónico, con alertas inmediatas e informes mensuales de brechas de seguridad. También comercializan otros planes para negocios y empresas por 30 dólares al año para 50 direcciones de e-mail y por 99 dólares al año por dominio completo.
