Desde que hace pocos años ocurriesen todos esos acontecimientos en los que estuvieron involucrados grupos como WikiLeaks, Anonymous y LulzSec, revelando información sensible y confidencial de los Estados Unidos y diferentes gobiernos, que fueron (evidentemente) considerado crímenes por estos países y en varios casos penados con todo el peso de la justicia (cárcel, cargos por espionaje y más...), los investigadores de seguridad parecen pensarlo dos veces antes de publicar información que el FBI y otros organismos judiciales puedan considerar sensibles.
Al publicar estas contraseñas quiere ayudar a otros expertos a estudiarlas y mejorar los sistemas de seguridad
Este es el caso de Mark Burnett, un experto en seguridad informática que hoy se ha dado el tupé de publicar nada menos que 10 millones de contraseñas con sus respectivos nombres de usuario en la web, con el miedo de ser atrapado y encarcelado por el FBI debido a esta acción.
Pero los motivos de Burnett son honestos. Como investigador de seguridad, al publicar estos 10 millones de contraseñas lo que quiere es ayudar a otros expertos a que se estudien la relación entre el nombre de usuario y la contraseña elegida, para mejorar los sistemas de seguridad.
Hoy en día los expertos en la materia solamente publican contraseñas filtradas en solitario, nunca acompañadas del nombre de usuario (a menos que sea de forma intencional por parte de un grupo de hackers malintencionados). El riesgo para Burnett es que al publicar usuario+contraseña ya se habla de delito de autentificación, está aportando, al menos en teoría, todo lo necesario para acceder a una cuenta.
Pero esto no es realmente así, y Burnett lo explica en su artículo.
Estas 10 millones de contraseñas hoy son "inútiles"
En una de las partes de su artículo que ha llamado "El FBI no debería arrestarme" el investigador explica los motivos de haber publicado estos datos luego de mucho pensar y temer en que la justicia podría llegar a derribar su puerta.
Normalmente los investigadores solo publican contraseñas, pero yo también estoy publicando los nombres de usuarios. El análisis de usuario y contraseña en conjunto ha sido dejado de lado por temor pero la verdad es que puede ser increíblemente beneficioso para mejorar los sistemas de seguridad online, mucho más que solo estudiar las contraseñas. Muchos analistas no publican contraseña y usuario por miedo a ser acusados de fraude de identidad, pero la verdad es que estos datos ya se encuentran disponibles en toda la web después de que el usuario los ha cambiado."
Burnett recuerda, cómo no, el caso de Barret Brown, el ex-integrante y vocero de Anonymous que fue acusado y sentenciado con 5 años de cárcel por "filtrar enlaces a información filtrada". Aunque la realidad es ligeramente distinta (sí, fue acusado con esto pero en realidad fue condenado por amenazar a un agente del FBI y esconder evidencias), el miedo tanto de expertos en seguridad como de periodistas es toda una realidad. Ya nadie se quiere arriesgar.
Pero Burnett es un poco mas optimista y espera que al ser sincero en su publicación el FBI entienda que:
- Estos datos son obsoletos hoy en día, se trata de contraseñas antiguas que ya no sirven para nada
- Todos los datos se pueden conseguir fácilmente en distintas webs de filtraciones, Burnett no ha "hackeado" a nadie para obtenerlos
- Esta publicación es, simplemente, con motivos de estudios, para mejorar los sistemas de seguridad web
Estudiar el tipo de contraseñas que mayormente utilizan las personas y su relación con los nombres de usuario podría ayudar a las empresas de seguridad a mejorar sus sistemas y exigir mejores contraseñas a las personas, para así evitar los fraudes de identidad en la web, y tratar así de dejar en el pasado esas contraseñas inseguras como "123456" y la fecha de tu cumpleaños.