Cómo saber si su contraseña ha sido robada

[10/03/2021] Crear una contraseña única y segura y almacenarla en un administrador de contraseñas o navegador no es lo suficientemente bueno. Necesita saber cuándo y si su contraseña fue robada en una brecha para poder actuar con la suficiente rapidez y cambiarla antes de que su información personal se vea potencialmente comprometida. A continuación, le enseñamos cómo.

Ha pasado algún tiempo desde que en el 2019 las violaciones de datos masivas Collections filtraron literalmente miles de millones de direcciones de correo electrónico y contraseñas a la web, poniendo en riesgo la seguridad de esas cuentas. El problema que enfrentaron los usuarios en ese momento fue un número limitado de formas de saber si realmente estaban en riesgo. Hoy en día, hay muchos servicios de monitoreo de contraseñas que revelarán si su contraseña ha sido robada. Muchos están diseñados para permitirle tomar medidas rápidamente y cambiarlas.

Servicios básicos para revelar infracciones de correo electrónico

Dos servicios acreditados para verificar esta información existían en el momento de las filtraciones Collections, y aún lo hacen: HaveIBeenPwned, y un servicio administrado por Hass-Platner-Institut en Potsdam, Berlín. Ambos le piden que ingrese su dirección de correo electrónico (¡no su contraseña!), y los dos compararán su dirección de correo electrónico con una base de datos de filtraciones conocidas.

Cada servicio tiene su atractivo. La reputación de HaveIBeenPwned atrae a quienes desean dar a conocer sus ataques; los informes de filtraciones que tiene el sitio parecen completos. El sitio enumerará las violaciones en las que se ha visto atrapada una dirección de correo electrónico, junto con cualquier información complementaria, como su género o su número de teléfono, por ejemplo. El sitio organiza las infracciones por el servicio atacado, no por la fecha. ¿Por qué esto es importante? Porque si su correo electrónico fue expuesto en una filtración en el 2016, por ejemplo, es probable que su contraseña haya sido cambiada desde entonces. Pero si su correo electrónico y contraseña fueron expuestos el mes pasado, querrá cambiarlos de inmediato.

HaveIBeenPwned publica la información de las filtraciones de cualquier dirección de correo electrónico, cosa que puede resultar útil para revisar los correos de amigos o familiares, aunque no es el servicio más consciente de la privacidad.

El servicio de HPI adopta un enfoque diferente. Enumera las infracciones por fecha, junto con una matriz de la información que se expuso. Si ingresa una dirección de correo electrónico en el sitio, se le enviará un informe de seguridad a ese correo electrónico específico, junto con un cuadro codificado por colores sobre qué datos están en riesgo y de qué filtración.

Los navegadores están agregando monitoreo de contraseñas de forma gratuita

Los dos servicios mencionados anteriormente solo revelan si una dirección de correo electrónico específica ha sido parte de una filtración de datos; no revelan si se ha expuesto un nombre de usuario que no está asociado a un correo electrónico -por ejemplo, "billg". Para ello, querrá un servicio confiable que lo conozca a usted y a las contraseñas que haya elegido. No elija sitios aleatorios para "verificar” sus contraseñas; es mejor que se quede con algunos nombres confiables. (Además, tenga en cuenta que el monitoreo de contraseñas es un servicio pagado en la mayoría de los administradores de contraseñas, pero no en los administradores de contraseñas dentro de un navegador web).

Google Password Checkup: En el 2019, Google agregó un complemento de navegador gratuito para Chrome que le advertía, una vez que iniciada la sesión en un sitio comprometido, si su correo electrónico o contraseña se habían visto comprometidos.

En octubre del 2019, Google comenzó a verificar automáticamente las contraseñas contra filtraciones y, a partir de Chrome 79, empezó a monitorear su uso en línea para evitar el "phishing" o ser atraído a divulgar su contraseña con falsas pretensiones.

Si va a passwords.google.com y se autentica, el Password Checkup en línea de Google le mostrará un panel rápido de las contraseñas que han sido expuestas en violaciones de seguridad, que se han duplicado en varios sitios, y que podrían mejorarse con más contraseñas complejas para evitar que se descifren fácilmente si se produjera una violación. También hay enlaces para cambiar las contraseñas en los propios sitios. Sin embargo, esto solo funciona si ha almacenado contraseñas con el propio Google.

Firefox Lockwise: Firefox Lockwise viene como parte del navegador gratuito Mozilla Firefox y funciona de una manera ligeramente diferente. No ofrece las recomendaciones que hace Google sobre contraseñas débiles y redundantes, pero su función de monitoreo de contraseñas funciona de manera similar. También parece que funciona independientemente de si ha almacenado una contraseña en Firefox o simplemente ha importado contraseñas de otro navegador. Sin embargo, al igual que Google, necesita "saber" su contraseña, lo que requiere que la almacene en el navegador.

La forma más fácil de llegar a Lockwise es escribiendo about:logins en la barra de URL de Firefox.

Si se ha expuesto una contraseña, verá un banner de color rojo brillante, la cuenta y la contraseña en cuestión, y un enlace para acceder a esa cuenta. (También puede marcar cuentas que usted posiblemente ya haya deshabilitado, como pasó con una filtración de LinkedIn que me mostró, que se había vinculado a una cuenta de trabajo anterior).

Microsoft Edge Password Monitor: El año pasado, Microsoft prometió un Password Monitor dentro de Microsoft Edge, y pronto se implementará como parte de Microsoft Edge 88. Al igual que los servicios similares ofrecidos por otros fabricantes de navegadores, será gratuito.

Monitoreo de contraseñas pagado: Administradores de contraseñas

Ya revisamos los administradores de contraseñas, que son sin duda la forma más conveniente de administrar las contraseñas. A continuación, se muestra un resumen de qué administradores de contraseñas hacen qué en términos de monitoreo.

LastPass: Si bien LastPass ofrece una versión sólida y gratuita de los servicios de almacenamiento de contraseñas que ofrecen los navegadores, el servicio de LastPass de LogMeIn sí cobra por el monitoreo de contraseñas. LastPass vigila la "dark web" en caso se filtre una contraseña, y le envía una notificación cuando lo hace, cosa que los fabricantes de navegadores todavía no implementan. ¿Vale la pena pagar los tres dólares de LastPass al mes por el servicio? Si valora el bloqueo inmediato de sus datos personales, podría valer la pena.

Dashlane: Dashlane también considera el monitoreo de la "dark web” como un servicio pagado y cobra 6,49 dólares al mes.

1Password: 1Password no ofrece un nivel gratuito, pero su servicio básico de 2,49 dólares al mes incluye lo que la compañía llama "Watchtower", que alerta sobre contraseñas comprometidas y sobre las que deberían actualizarse porque son débiles. De hecho, 1Password trabaja con el servicio HaveIBeenPwned para verificar sus contraseñas (no su correo electrónico) con su base de datos de contraseñas filtradas. Pero como medida de seguridad adicional, 1Password envía solo parte de su contraseña (o, específicamente, parte del hash de la contraseña), recopila todas las posibles coincidencias y luego las verifica de forma privada en su máquina.

 Otros administradores de contraseñas tienden a cobrar tarifas bajas por el monitoreo de contraseñas, pero ¿quién sabe? Es posible que la influencia competitiva de Microsoft y Google, además de Mozilla, haga que el monitoreo de contraseñas vuelva a ser un servicio gratuito en los próximos años.

Basado en el artículo de Mark Hachman (PC World)y editado por CIO Perú

Puede ver también

• Introducción a Google Password Manager
• Los mejores administradores de contraseñas para Android - 2019
• Los mejores administradores de contraseñas para iPhone
• Las mejores herramientas para el SSO
• 3 pasos para hacer que la administración de contraseñas sea más fácil