Hace unos días apareció, en la dark web, un archivo de texto llamado rockyou2024.txt. Pero no, no tiene relación alguna ni con la canción de Scorpions (Rock You Like A Hurricane) ni con la de Queen (We Will Rock You). Para entenderlo mejor debemos ir a la que, por norma general, se considera la segunda acepción de esta expresión, y que tiene que ver con impactar, sorprender, sacudir, es decir, con llevar a cabo una acción que genere un impacto destacable a una persona (o a muchas).
¿Y qué es lo que ha hecho el creador (o los creadores) de RockYou2024 para generar tal impacto? Pues lo cierto es que no se han quedado cortos ya que, según leemos en Cybernews, rockyou2024.txt alberga, en texto plano, cerca de 10.000 millones de contraseñas. El número concreto, por si quieres saberlo, es de 9.948.575.739 credenciales únicas, una cifra que lo convierte en la mayor recopilación de contraseñas que se ha visto en toda la historia de la ciberdelincuencia.
Tras someter su contenido a análisis, son varias las conclusiones extraídas por los investigadores. La primera es que son credenciales reales (aunque no se han probado en su totalidad, obviamente) y la segunda, de las más destacables, es que entre ellas se encuentran tanto claves ya obtenidas en filtraciones anteriores, como otras que no habían visto la luz (o al menos no habían sido detectadas) hasta ahora. El archivo tiene como fecha de creación el 4 de julio y su autor, identificado con el seudónimo ObamaCare en el foro en el que lo ha compartido, ya filtró anteriormente una base de datos de empleados del bufete de abogados Simmons & Simmons, información del casino en línea AskGamblers y solicitudes de estudiantes para el Rowan College.
Los más informados en asuntos de ciberseguridad seguramente no encontrarán este nombre totalmente extraño, y es que hace tres años se filtró un documento llamado RockYou2021.txt que también se convirtió, en su momento, en el mayor listado de credenciales filtradas visto hasta ese momento. Aquel documento incluía alrededor de 8.400 millones de claves, que también están presentes en RockYou2024, por lo que se deduce que se han añadido algo más de 1.500 millones de credenciales que se han filtrado durante los últimos tres años.
Utilizar una contraseña insegura es un riesgo enorme, como solemos recordar de manera regular, pero lo cierto es que emplear una contraseña segura tampoco garantiza, a estas alturas, que nuestras cuentas no vayan a ser vulneradas. Desgraciadamente, la eficiencia de los ciberdelincuentes, y en algunos casos también la desidia de los responsables de seguridad de algunos servicios, ha provocado que en la actualidad confiar solo en una clave sea absolutamente insuficiente.
Algunas tecnológicas llevan ya años trabajando en Passkey, el sistema que pretende acabar con las contraseñas como método de autenticación, y afortunadamente su uso ya ha empezado a implantarse. De momento no tan rápido y de manera tan universal como nos gustaría, pero al menos el cambio ya está en marcha. Mientras tanto, lo más seguro es emplear los sistemas de doble autenticación, que sí que están presentes de manera mucho más generalizada, y que elevan sustancialmente el nivel de seguridad.
A esto, además, debemos sumar dos recomendaciones básicas, pero que en ocasiones son ignoradas. La primera es, y ya lo hemos dicho muchas veces, no repetir el mismo conjunto de nombre de usuario/email y contraseña en más de un servicio. Y la segunda es emplear funciones como la que integra el gestor de contraseñas de Google Chrome, que cruza nuestras credenciales con las que han aparecido en filtraciones, y en caso de que la seguridad de alguna se haya visto comprometida nos alerta para que la cambiemos de inmediato. Este es el método más confiable para comprobar si alguna de tus contraseñas se ha visto expuesta en RockYou2024