El apocalipsis de los 16.000 millones de contraseñas: ¿una catástrofe tecnológica o un simple clickbait?
En las últimas horas han aflorado titulares alarmistas que aseguran la filtración de 16.000 millones de datos personales, pintándolo como el fin del mundo digital. Esos mismos medios hacía apenas anunciaban una hecatombe por 19.000 millones de datos personales. Y si rastreas un poco más, descubrirás que este enfoque sensacionalista es un clásico reciclado desde hace años. Y funciona.
Algunos medios (pequeños y grandes) advierten de “hackeos masivos” a Apple, Google o Facebook, cuando en realidad no hay ni rastro de brechas en sus servidores. No sé si es porque están escritos por periodistas que no tienen formación técnica o porque la tienen pero la usan para engañar a cuantos más pardillos mejor, pero el hecho es que ninguno de todos esos medios explica que se trata de un compendio de logs provenientes principalmente de infostealers, no de ataques directos a grandes compañías. Así que no: ni Apple ni Meta tienen que ponerse nerviosos. El apocalipsis informático no viene por ahí.
¿La gran filtración o un megapegote de datos?
Esto no ha sido un ataque único y organizado: los 16.000 millones son el resultado de una fusión de unas 30 bases de datos, muchas solapadas, antiguas o inútiles. Entre ellas, se mezclan credenciales de acceso repetidas, registros inflados y datos viejos: un batiburrillo que hace que 16.000 millones suenen mucho más dramáticos de lo que realmente son.
¿Hay algo realmente “nuevo” o valioso?
Sí, hay datos recientes, pero no tantos como los titulares pretenden. Lo verdaderamente peligroso no son las contraseñas en sí, sino lo que las acompaña: cookies activas, tokens de sesión y metadatos para ataques tipo credential stuffing (robo de datos de acceso como nombre de usuario y contraseña). Pero eso es tema aparte, poco rentable y no sirve para conseguir clics.
El verdadero origen: los infostealers
Estos programas maliciosos roban credenciales de navegadores, cookies, autofill y otros restos locales, enviándolos a servidores.
Esos «programas» acompañan a muchos juegos gratuitos y aplicaciones chorras como esas de hacer que tu cara envejezca o rejuvenezca. También consiguen entrar en los ordenadores y móviles de la gente mediante envíos masivos de spam en que anuncian que el destinatario ha conseguido un premio o forma parte de una promoción de una cadena de bricolaje que le regala un kit de trabajo en madera; la gente pica en esas cosas y el infostealer se instala y empieza a mandar todos los datos personales y técnicos que encuentra en el móvil.
Luego, varios actores recopilan esos logs y acaban sumando cantidades ingentes de datos que, tras ser expuestos, generan titulares sensacionalistas. El usuario no nota nada ni le roban en la cuenta del banco ni piden préstamos a su nombre ni nada de nada punto todo eso tardará un tiempo en llegar, pero llegará.
El mensaje que realmente importa
Si hay algo que tomar de esta histeria mediática es la urgente necesidad del factor de doble autenticación, no por alarma mediática, sino por sentido común. Aunque pueda sonar complicado es algo tan sencillo como añadir el número de teléfono y el email a las cuentas principales que usamos como Google, Facebook o Twitter, de modo que si se inicia sesión en un dispositivo nuevo recibiremos un SMS que nos pedirá confirmación o nos enviará un número clave para que se pueda acceder a esa cuenta desde ese nuevo dispositivo. Así aunque nos hayan robado la contraseña nadie podrá entrar en nuestra cuenta si no tiene los números que nosotros hemos recibido en el SMS.
De todas maneras ten en cuenta que los ladrones siempre han existido y van a seguir existiendo pero, como todos los parásitos, sólo pueden afectar a una pequeña parte de la población porque si abusan, matan al huésped y mueren ellos mismos. El problema se puede afrontar de muchas maneras y una de ellas es adoptar el punto de vista darwinista y entender que quienes mejor se adapten al entorno sobrevivirán y quién es no entiendan la necesidad de proteger sus cuentas o de activar la doble autentificación serán víctimas de todos estos ladrones (que ahora se llaman hackers) y con lo que roben en esos ataques se conformarán y nos dejarán tranquilos a quienes sí tomamos todas esas precauciones.
