linkedin

linkedin

Software

117 millones de contraseñas de LinkedIn acaban de ser liberadas en la red

Hoy se ha descubierto que 117 millones de contraseñas de LinkedIn han sido filtradas en la Dark Web, pese a que la compañía dijo lo contrario.

18 mayo, 2016 18:06

Noticias relacionadas

Momento ideal para cambiar de contraseña: acaba de anunciarse que millones de contraseñas de LinkedIn acaban de ser filtradas en la Dark Web.

Todo empezó en 2012, cuando un ataque a la base de datos central de LinkedIn acabó con el robo de la información de inicio de sesión de sus usuarios, es decir, el correo electrónico y la contraseña.

En su momento ya fue un caso muy polémico por muchas razones, y no sólo reflejó una falta de seguridad importante por parte de LinkedIn, sino que también se criticó que la compañía tardó demasiado en avisar a sus usuarios para que pudiesen cambiar la contraseña. LinkedIn en su momento se excusó asegurando que buscaba “transmitir la información de manera clara” y evitar confusiones.

Cómo millones de contraseñas de LinkedIn acabaron al aire libre

Sin embargo, ahora se ha descubierto que en realidad el ataque fue mucho más grave de lo que LinkedIn anunció en un principio, y ahora estamos viendo las consecuencias de ello con la publicación de 117 millones de correos electrónicos y contraseñas; estos datos son accesibles usando la red TOR que permite el anonimato, también conocida como la “dark web”.

El hacker detrás del ataque, que se hace llamar “Peace”, pide 5 bitcoin, unos 2.012 euros, a cambio de información de 167 millones de cuentas de LinkedIn, aunque sólo tiene el correo y la contraseña de 117 millones de cuentas.

Originalmente las contraseñas estaban guardadas en los servidores de LinkedIn usando un cifrado SHA1, pero sin “sal”. Se conoce como “sal” o “salt”, a un conjunto de bits aleatorios que se pone al final de lo que queremos cifrar, con el objetivo de hacer más difícil el descifrado.

cambiar-pass-contrasena

cambiar-pass-contrasena

Como LinkedIn decidió no implementar esta medida de seguridad adicional, las contraseñas han podido ser descifradas con relativa facilidad, y algunas de las personas detrás de la filtración aseguran que consiguieron descifrar el 90% de las contraseñas en sólo 72 horas.

Varios sitios de seguridad, como Have I Been Pwned, han podido contactar con algunos de los usuarios que aparecen en la filtración, y han confirmado que las contraseñas son verídicas y que funcionan, pero que no recibieron ninguna notificación de LinkedIn el pasado 2012.

LinkedIn tiene mucho que explicar

Todo apunta a que LinkedIn intentó pasar el ataque como algo menor de lo que realmente fue, y sólo avisó a una pequeña porción de los usuarios afectados. Representantes de la compañía no han querido realizar muchas declaraciones por el momento, aunque el mensaje que parecen enviar es que no sabían realmente cuánto se había robado.

LinkedIn-red-social

LinkedIn-red-social

No estamos hablando sólo de LinkedIn; los que compren esta base de datos pueden probar esas direcciones de correo y contraseñas en otros servicios, ya que la mayoría de la gente sigue usando la misma contraseña en varias webs (y por cosas como esta no es lo recomendable).

Así que si usas LinkedIn, lo mejor que puedes hacer es no esperar a que el servicio te avise, y cambiar ya la contraseña.