Hace algún tiempo nos encontrábamos revisando las políticas de nuestro Antispam, dado que no estaba filtrando un porcentaje adecuado de correo basura, e incluso habíamos detectado correos de estafa llegando a los usuarios. Durante ese período, nuestro CIO nos avisó que había recibido un correo de estafa muy particular.
El correo decía algo como lo siguiente (el nombre no es el real del CIO):
Hola Álvaro,
Soy un hacker con conocimientos avanzados y tengo acceso a todos tus dispositivos y fotos privadas. Accedí a tus dispositivos usando vulnerabilidades de día cero que los fabricantes desconocen.
Como prueba de esto, sé que tu password del correo alvaro@dominio.cl es Metallica1990
Tengo en mi poder fotos muy comprometedoras tuyas que voy a divulgar si no me transfieres la siguiente cantidad a mi Wallet…
Lo que desconcertó al CIO era que justamente “Metallica1990” era una antigua password de su correo, que ya hace años que no utilizaba. Con risas de por medio, nos aclaró que no temía por las “fotos comprometedoras”, pero de todas maneras quería que le dijéramos qué tan probable era que sus dispositivos hubieran sido comprometidos.
Nuestra respuesta fue que no había de qué preocuparse, pero que de todas formas se asegurara que esa password no fuera reutilizada en ningún otro de sus correos o cuentas de redes sociales.
“¿Y cómo pueden estar tan seguros?”
Mmmm la verdad no podemos asegurar que la red de su hogar no tenía algún tipo de malware o un intruso, pero sí que el correo que recibió no era fruto de un ataque muy sofisticado.
Vamos por partes. Actualmente escuchamos muy a menudo que hubo una gran fuga de datos en empresas de tamaño importante. Millones de datos de clientes se filtraron. Bases de datos completas fueron publicadas. Se divulgaron datos privados de millones de usuarios. Y así, estas noticias son tan frecuentes que no nos sorprenden y han pasado a ser parte del paisaje.
Esta acumulación de filtraciones contribuye a alimentar las bases de datos de los criminales y a establecer patrones habituales de uso de claves en los usuarios.
Una forma popular de saber si nuestras credenciales han sido publicadas como parte de filtraciones masivas es “haveIbeenpowned”.
Así, podemos ver habitualmente rankings de las passwords “más usadas”. Los especialistas analizan estos datos masivos y pueden construir modelos de comportamiento de los usuarios.
Finalmente, tomando un conjunto de credenciales cualquiera de estas filtraciones, es sencillo construir un correo de estafa de este tipo, con un texto llamativo y una amenaza de filtración.
No obstante lo simple de este tipo de amenazas, hay un aspecto más alarmante que resalta la segunda parte de nuestra respuesta al CIO.
¿Estás ocupando esta clave en alguna de tus otras cuentas?
¿Estás utilizando esta combinación en algún acceso a información confidencial o sensible?
¿Qué tan fácil sería para un atacante tener acceso a tu información personal usando estas combinaciones?
¿Reciclas tus claves en cuentas importantes?