A pocas semanas de conocer el mayor robo de usuarios y contraseñas de la historia, una nueva filtración ha aparecido en la Dark Web. Se trata de 617 millones de cuentas robadas de 16 sitios, las cuales se han puesto a la venta por 20 mil dólares en Bitcoin.

Lo anterior fue reportado por The Register, quien confirmó que se trata principalmente de bases de datos de sitios como Fotolog, 8bit, MyFitnessPal, Dubsmash, MyHeritage y otros más. Estas bases incluyen nombres de usuario, contraseñas, direcciones de correo electrónico y en algunos casos, información personal y tokens de acceso a redes sociales.

Hasta el momento no existe evidencia de datos bancarios en estas cuentas. En el caso de la contraseñas, el comprador tendrá que descifrarlas ya que se encuentran encriptadas. Algunas de ellas cuentan con un algoritmo de cifrado obsoleto, por lo que no sería problema para las personas que gustan de hacerse de esta información.

The Register reporta que estas bases contienen información de hackeos realizados desde el 2016. Algunos sitios, como 500px y EyeEm, ya contactaron a sus usuarios para que cambien la contraseña. Otros se encuentran investigando el incidente para determinar el grado de afectación.

¿Qué información se han robado?

Las bases de datos se venden por separado y la información contenida en algunos casos no es reciente. El hackeo a MyHeritage data de octubre de 2017, mientras que Animoto indica que los datos son de una filtración ocurrida en 2018 y que desde agosto avisaron a sus usuarios de lo ocurrido.

El caso de Fotolog es reciente y data de diciembre de 2018. La vieja red social resucitó a mediados del 2018 gracias a un grupo de emprendedores, y ha intentado despegar en el competido mundo de las apps de fotografía.

A continuación se indica la información que se ha obtenido de cada servicio.

Fotolog. Correo electrónico, contraseña, pregunta y respuesta de seguridad y datos de perfil (nombre, dirección, intereses y cualquier otra información agregada).

ShareThis. Correo electrónico, usuario, contraseña y datos de perfil (nombre, fecha de nacimiento, género)

500px. Correo electrónico, usuario, contraseña y datos de perfil (nombre, fecha de nacimiento, género, ubicación)

8fit. Correo electrónico, contraseña, token de autenticación para Facebook que incluye información de perfil en la red social, como nombre, género, dirección IP y fotografía.

MyFitnessPal. Correo electrónico, user ID, usuario y contraseña, dirección IP.

Armor Games. Correo electrónico, usuario, contraseña y datos de perfil (fecha de nacimiento, género, ubicación y cualquier otra información agregada).

DataCamp. Corrreo electrónico, contraseña y ubicación.

Artsy. Correo electrónico, contraseña, ubicación, dirección IP.

Bookmate. Correo electrónico, usuario, contraseña y datos de perfil (género, fecha de nacimiento).

MyHeritage. Correo electrónico y contraseña.

Animoto. Correo electrónico, user ID, contraseña y datos de perfil (nombre y fecha de nacimiento).

EyeEm. Correo electrónico y contraseña.

Dubsmash. Correo electrónico, user ID, contraseña y datos de perfil (nombre y ubicación).

CoffeeMeetsBagel. Correo electrónico, contraseña y datos de perfil (nombre, edad, fecha de registro, género).

HauteLook. Correo electrónico, contraseña y nombre.

Whitepages. Correo electrónico, contraseña y nombre.

Los precios varían por base de datos. La información de cada sitio se vende por separado y entre las más caras tenemos a Dubsmash y Fotolog, con precios de $1.976 y $1.872 dólares respectivamente.

Las bases de datos se puede comprar en la Dark Web por medio de Tor. El hacker ha decido hacer pública esta información no solo por cuestión monetaria, sino también para que la gente tome conciencia de lo importante que es asegurar sus cuentas.

Si eres usuario de alguno de estos servicios, es probable que ya hayas recibido una notificación para cambiar tu contraseña. Si no lo has hecho, no esperes más y cámbiala de inmediato.

Siempre se recomienda activar la verificación de dos pasos — en caso de existir — y en la medida de lo posible, evitar usar la misma contraseña en otros sitios.