El FBI te ayudará a saber si han hackeado tu contraseña

Have I Been Pwned se ha convertido en la web de referencia para saber si nos han hackeado una contraseña o, más recientemente, nuestro número de teléfono. El portal cuenta ya con casi 11.300 millones de cuentas vulneradas, con 538 hackeos a distintas webs. Ahora, van a tenerlo aún más fácil para ampliar su base de datos.

El portal Have I Been Pwned ha hecho un doble anuncio hoy. El primero es que van a colaborar con el FBI. Esta colaboración tendrá como objetivo que las bases de datos de contraseñas hackeadas a las que tenga acceso el FBI sean facilitadas a la página web para que las añada y que los usuarios puedan comprobar si se han visto involucrados en un hackeo.

El FBI subirá contraseñas a Pwned Passwords

De esta forma, el FBI tendría vía directa para subir contenido directamente a la base de datos de la web para que ésta la indexe y la haga accesible a los usuarios. El FBI ofrecerá las contraseñas como hashes SHA-1 y NTLM y no en texto plano. No proveerá ningún otro dato personal, y esas contraseñas irán incorporándose a la base de datos de Pwned Passwords, que ya cuenta con 613 millones de contraseñas filtradas.

Que una contraseña aparezca ahí ya nos indica que no tenemos que utilizarla en ningún servicio, ya que alguien puede coger esa base de datos y probar esos 613 millones de contraseñas hasta que una coincida con nuestra cuenta. También hay que tener en cuenta que el hecho de que una contraseña no aparezca ahí no implica que sea segura, ya que hay que intentar tener siempre contraseñas complejas.

Esa misma base de datos se puede descargar directamente de la página web en el apartado de Passwords, agrupada en archivos torrent. La versión más actualizada fue compilada el 19 de noviembre de 2020, por lo que desde entonces ya se habrán añadido más contraseñas hackeadas.

Pwned Passwords será open source

La segunda novedad anunciada por Troy Hunt, su creador, es que va a hacer la web open-source de manera que otros puedan contribuir al proyecto y sea más fácil encontrar credenciales que hayan sido hackeadas.

Hacer open-source el código era un paso lógico, ya que además afirma que el código es muy sencillo, consistiendo sólo en un servicio de almacenamiento en Azure, un Azure Function, y un worker de Cloudflare.

Al hacerlo open-source, otras empresas pueden integrar la comprobación directamente en sus servicios. Por ejemplo, Microsoft no deja a los usuarios poner como contraseña una que haya estado en un hackeo, y otros gestores de contraseñas podrían hacer lo mismo con esta nueva herramienta de implementación gratuita.

Troy Hunt anunció ayer también que el portal se acerca ya peligrosamente a la cifra de 1.000 millones de comprobaciones al mes, lo que equivale a que 1 de cada 8 personas del mundo comprueba cada mes si su correo o contraseña está presente en un hackeo. Esto demuestra que cada vez hay más gente preocupada por su seguridad, pero sigue habiendo quien utiliza contraseñas poco seguras.