En varias ocasiones hemos dicho que las contraseñas son la puerta que nos abre a multitud de servicios y perfiles de usuario, y aunque hay otras maneras de proteger nuestros datos o información, la contraseña sigue siendo la principal hasta nuevo aviso.
Y aunque hay muchas maneras de crear una contraseña segura, no hay un método infalible y es inevitable que tarde o temprano caiga en malas manos. Incluso si tienes un gestor de contraseñas, tu clave secreta puede ser descubierta aunque tú no tengas la culpa, simplemente porque la empresa que guardaba esa contraseña ha sido atacada y los datos han sido expuestos.
Una simple búsqueda en internet nos devuelve noticias como ésta: 620 millones de usuarios y contraseñas se venden al mejor postor. Y es que aunque las empresas que las custodian procuran contar con la mejor seguridad posible, cifrar su información, etc., no siempre vigilan lo suficiente y, en ocasiones, cometen errores que hacen que una lista de cientos o miles de contraseñas asociadas a direcciones de correo electrónico acaben en foros de ciberdelincuencia y puedan ser empleadas, en el mejor de los casos, para curiosear, y en el peor de ellos para robar tu identidad y/o emplear tus datos.
¿Cómo saber si tus contraseñas han sido robadas o expuestas a un ataque externo? En la mayoría de los casos, la propia empresa afectada suele contactar contigo más pronto que tarde pidiéndote que cambies tu contraseña y te explica que el motivo es una brecha de seguridad. Este contacto se hace a través del correo electrónico asociado a dicha contraseña y que suele venir acompañado de un enlace para eliminar la clave anterior y crear una nueva.
Pero no siempre vas a recibir ese aviso o va a llegar con semanas de retraso. Por suerte, hay organizaciones que vigilan este tipo de ataques y procuran listar los servicios afectados para que puedas comprobar si te afecta y si tu contraseña ha sido robada.
¿Está mi contraseña en la lista?
Uno de los servicios más populares para verificar si tu contraseña aparece en alguna lista de claves robadas es Have I Been Pwned, que muestra un listado de los ataques que han afectado a un mayor número de cuentas y los últimos ataques. Además, puedes buscar directamente tu dirección de correo electrónico para ver si aparece en las listas de ataques.
La búsqueda es totalmente gratuita, su base de datos se actualiza a menudo y, además, cuenta con funciones adicionales de gran utilidad, como la posibilidad de ser avisado si tu correo electrónico aparece en una futura lista vulnerable. También tiene un buscador de contraseñas para ver si una clave concreta aparece entre los más de 500 millones de claves expuestas en ataques pasados.
El popular antivirus Avast también tiene un buscador de este tipo donde puedes indicar tu dirección de correo electrónico y saber si aparece en algún listado de contraseñas robadas. Además, te avisará si aparece en futuras listas.
LastPass también te ayudará a descubrir si tienes contraseñas robadas en tu lista de claves guardadas. Este práctico gestor de contraseñas tiene una función llamada Desafío de seguridad o en inglés Security Challenge que, primero, analiza si tus claves son seguras y/o si las repites demasiado y, después, te pregunta si quieres buscar tus direcciones de correo electrónico para comprobar si han sido expuestas a ataques.
Recibirás un correo electrónico listando esas exposiciones, a qué servicio se refieren y en qué año, mes y día se produjeron para que tomes cartas en el asunto.
Para terminar, Google Chrome ha integrado recientemente una nueva función que sirve para analizar tus contraseñas guardadas y avisarte si fueron expuestas en el pasado. Hasta ahora, podías instalar esta función en forma de complemento para Google Chrome con el nombre de Password Checkup extension o Extensión Revisión de contraseñas en castellano.
La extensión o complemento es oficial de Google y, como decía, en las nuevas versiones de Google Chrome la función viene integra, de manera que si al iniciar sesión en un sitio web, detecta que esa clave o correo electrónico aparecen en listas de ataques previos, verás un aviso que te invitará a cambiar la contraseña de inmediato.
Qué hacer si tu contraseña ha sido robada
Que tu contraseña, clave secreta o dirección de correo electrónico aparezcan en una lista pública tras un ataque o brecha de seguridad, no significa que alguien haya accedido a tu perfil de usuario en ése servicio o en otro en el que compartas contraseña.
Pero esa situación puede ocurrir más pronto que tarde, por lo que la única y principal solución que debes seguir si tu contraseña ha sido robada es cambiarla lo antes posible. Puedes hacerlo yendo directamente a la página en la que inicias sesión con esa cuenta de correo. Cierras sesión si ya la has iniciado automáticamente y, en vez de iniciar de nuevo, pulsa en Cambiar contraseña o similar.
A partir de aquí, los demás consejos que podemos darte son los habituales, como no compartir con cualquiera tus claves por mucha confianza que tengas, no dejar a la vista esas contraseñas, emplear un gestor de contraseñas, acceder a sitios web mediante cifrado (verás un icono de candado en el navegador), no repetir la misma clave en varios sitios a la vez, etc.