Have i been pwned? es un servicio en línea que nos muestra si una dirección de correo ha sido filtrada en un incidente de ciberseguridad. Es muy útil cuando estamos en la etapa de reconocimiento de un objetivo. La herramienta además nos mostrará en cuales incidentes se filtraron los datos.
Su funcionamiento es muy simple. Solo vamos al sitio web Have i been pwned?, introducimos el correo que queremos buscar y la aplicación hará el resto.
Para este ejercicio busqué el correo de uno de mis contactos. Have i been pwned? me dice que esa dirección se ha filtrado en 4 incidentes de ciberseguridad.
La información que el sitio nos arroja es importante para el reconocimiento y el perfilamiento de un objetivo. En este caso, nos dice que los datos de esta persona se filtraron en un hackeo realizado a Canva, luego podemos inferir que esta persona realiza alguna actividad creativa.
En una investigación Osint todos esos datos, por pequeños que parezcan, nos sirven para halar el hilo. Muchas veces es un dato que parece intrascendente el que termina llevándonos a descubrir lo que queremos. La herramienta además nos muestra la fecha de la filtración y el tipo de datos que se filtraron. En cada uno de los resultados nos mostrará algo como: Compromised data: Email addresses, Geographic locations, Names, Passwords, Usernames.
Vale aclarar que los datos filtrados en cada incidente corresponden a los que la persona usaba en los servicios vulnerados. De allí la importancia de no reutilizar contraseñas pues si una persona usa el mismo password para todo, basta que se filtre una vez para que un atacante tenga acceso a todos sus servicios.
Breach Directory.
Si los datos que nos arroja Have i been pwned? son insuficientes para lo que queremos podemos ir más allá. Breach Directory es un servicio similar pero éste nos nos da una pequeña muestra de los datos filtrados. Voy a hacer el ejercicio con una dirección de correo propia que en el pasado utilicé para las suscripciones. Veamos lo que nos dice Breach Directory:
Vemos que esa dirección de correo se filtró en dos incidentes. Además, la web nos dice que se encontraron 3 contraseñas con sus respectivos hashes. He borrado parte de los resultados por obvias razones.
Breach Directory en su versión gratuita cubre una parte de las contraseñas con asteriscos. Si queremos revelarlas podemos adquirir alguno de sus planes que, en mi opinión, son baratos. Con los planes podemos pasarle a la herramienta listas de correos. Ella revisará uno por uno y nos dará la información que haya sido filtrada.
Hay miles de delincuentes usando estos servicios. Usted puede saber si alguien está intentando usar sus credenciales filtradas yendo al apartado de seguridad del servicio de correo que use. Yo lo acabo de hacer con esta cuenta filtrada y el resultado es revelador (y aterrador):
¿Cuántos idiotas desde diferentes partes del mundo tratando de entrar en una cuenta que no tiene nada? Argelia, Reino Unido, Brasil, México… Puros bots, pequeños scripts que intentan ingresar, de forma automatizada, a miles de cuentas filtradas. Si doy en Ver más actividad la lista es infinita.
Así como está comprometida esa vieja cuenta de correo también puede estar la suya. La seguridad en Internet es una mierda pero podemos mejorarla con buenas prácticas. Para evitar estos incidentes podemos usar gestores de contraseñas que asignen a cada servicio un password diferente y seguro que no tenemos que recordar. Si un servicio cae, solo caerá la contraseña que usamos allí.
Para mitigar el impacto de las filtraciones debemos compartimentar la información. El correo que usemos para cosas importantes, como cuentas bancarias, trabajo, negocios etc., no debe usarse para las suscripciones. Es más, ese correo que contiene información tan sensible ni siquiera debe usarse para tratar asuntos personales. Otra cosa que deben evitar es lavarse la cara y el culo con el mismo jabón.
Usted sabrá si está usando bien su correo de asuntos importantes porque nunca le llega spam ni intentos de phishing. Espero les sirva. Hasta la próxima.
