RockYou2024 y las otras cuatro filtraciones de datos más grandes de la historia

Un desglose de las filtraciones de datos más importantes de la historia: desde Yahoo hasta RockYou2024.

En los últimos años ha habido un aumento constante de la cantidad de datos vulnerados. Las noticias sobre nuevas fugas y piratería son casi diarias, y en Kaspersky seguimos utilizando mucha tinta electrónica para hablarte de la necesidad de una protección robusta, ahora más que nunca.

Hoy nos sumergiremos en la historia para recordar (con escalofrío) las peores filtraciones de datos más grandes y graves de todos los tiempos. Sigue leyendo para saber cuánta información se filtró y de qué tipo, quién se vio afectado y mucho más…

1.    RockYou2024

Resumen: los piratas informáticos recopilaron datos de filtraciones pasadas y lanzaron la compilación más grande de contraseñas de usuarios reales: ¡diez mil millones de registros!

Cuándo: 2024.

Quién se vio afectado: usuarios de todo el mundo sin una protección segura.

RockYou2024 es el rey de las filtraciones, y una espina clavada para cualquiera que piense que los ciberdelincuentes no están interesados en ellas. En julio de 2024, los cibercriminales filtraron una gigantesca compilación de contraseñas en un foro de piratería: 9 948 575 739 registros únicos en total. A pesar de ser una recopilación basada en la antigua filtración RockYou2021, RockYou2024 sigue… rockeando, por así decirlo.

Nuestro experto, Alexey Antonov, analizó la filtración y descubrió que el 83 % de las contraseñas filtradas se podían descifrar con un algoritmo de adivinación inteligente en menos de una hora, y que solo el 4 % de ellas (328 millones) se podían considerar seguras: se necesitaba más de un año para descifrarlas con un algoritmo inteligente. Para saber cómo funcionan los algoritmos inteligentes, consulta nuestro estudio sobre la seguridad de las contraseñas, en el que se demuestra que muchos de nosotros seguimos siendo sorprendentemente indiferentes a la seguridad de las contraseñas después de analizar las filtradas en la red oscura.

Al analizar la última fuga, Alexey filtró todos los registros no relevantes y trabajó con el conjunto restante de… ¡8200 millones de contraseñas almacenadas en algún lugar en texto plano!

2.    CAM4

Resumen: un servidor mal configurado expuso 11 000 millones de registros de clientes al dominio público; se trata de información confidencial dado que CAM4 es… ¡un sitio para adultos!

Cuándo: 2020.

Quién se vio afectado: usuarios del sitio para adultos CAM4.

Esta historia es de interés por dos razones: qué información se filtró y cómo. Entre los datos “estándar” filtrados (nombre, apellido, dirección de correo electrónico, registros de pago, etc.) se encontraba información de carácter mucho más íntimo: preferencias de género y orientación sexual. Los usuarios tenían que proporcionar esta información al registrarse antes de poder disfrutar del contenido de la plataforma de transmisión para adultos.

La fuga fue causada por una base de datos de Elasticsearch no segura. Sin embargo, no terminó tan mal ni tan vergonzosamente: si recopiláramos todos los informes sobre las filtraciones relacionadas con este incidente, obtendríamos un voluminoso tomo, en el que la historia de CAM4 ocuparía un capítulo pequeño pero importante: “La mayor filtración de datos que no fue”. Afortunadamente, la base de datos se cerró media hora después de descubrirse el error, y posteriormente se trasladó a una red local interna. Se eliminaron los datos personales de los usuarios.

3.    Yahoo

Resumen: un ciberataque afectó a los tres mil millones de usuarios de la plataforma, pero Yahoo lo admitió solo tres años después.

Cuándo: 2012, 2013… ¿o fue en 2014? Ni siquiera Yahoo lo sabe con seguridad.

Quién se vio afectado: todos los usuarios de Yahoo.

Hace más de una década, Yahoo fue atacado (todo comenzó con un correo electrónico de phishing), lo que condujo a una serie de noticias sobre una supuesta filtración de datos. Los informes iniciales mencionaban un par de cientos de millones de cuentas afectadas, luego la cifra subió a unos 500 millones, y más tarde, en 2017, en vísperas del acuerdo de la empresa con Verizon, resultó que los tres mil millones de cuentas estaban afectadas. Los piratas informáticos consiguieron nombres, direcciones de correo electrónico, fechas de nacimiento y números de teléfono. Peor aún, tenían acceso a las cuentas de usuarios que llevaban años sin cambiar sus contraseñas. ¿Ves ahora por qué es tan importante cambiar las contraseñas con regularidad y borrar los perfiles antiguos?

Este incidente es una prueba más de que hasta los gigantes de la tecnología a veces descuidan el almacenamiento de los datos de los usuarios. En el caso de Yahoo, los atacantes encontraron una base de datos de preguntas y respuestas de seguridad no cifradas, y algunas cuentas no tenían autenticación de dos factores. Entonces, la moraleja de la historia es: no confíes en las redes sociales o las plataformas en línea para proteger tus cuentas personales. Inventa o crea contraseñas seguras, y guárdalas en Kaspersky Password Manager. Y si te preocupa que tus datos ya se hayan filtrado, instala cualquiera de nuestras soluciones de seguridad para el hogar: Kaspersky Standard y Kaspersky Plus te permiten especificar todas las direcciones de correo electrónico que tú y tu familia utilizáis para iniciar sesión en servicios online. La aplicación comprueba periódicamente estas direcciones e informa de cualquier filtración de datos que afecte a cuentas vinculadas a ellas.

En Kaspersky Premium, además de una lista de correo electrónico, puedes añadir números de teléfono, que suelen utilizarse para identificar a los usuarios de servicios online más confidenciales, como los bancarios. Nuestra aplicación busca estos números y direcciones en todas las nuevas filtraciones de bases de datos y, si los encuentra, te avisa y te aconseja qué hacer (más información sobre cómo te protegemos contra las filtraciones de datos personales online o en la dark web).

4.    UIDAI (Aadhaar)

Resumen: se pusieron a la venta los datos biométricos de casi todos los ciudadanos y residentes de la India.

Cuándo: 2018.

Quién se vio afectado: 1100 millones de ciudadanos y residentes en la India.

La Autoridad de Identificación Única de la India (UIDAI) dirige el sistema de bioidentificación más grande del mundo y almacena los datos personales, las huellas digitales y las fotos del iris de más de mil millones de personas en la India.

Si bien muchos países de todo el mundo solo planean implementar la identificación biométrica, la India ya cuenta con un sistema de este tipo desde hace más de una década. La UIDAI se creó para que cada residente de la India tuviera un número de identidad oficial único, Aadhaar.

Pero en 2018, luego de una serie de filtraciones de datos, los ciberdelincuentes no solo pusieron sus manos en la base de datos, sino que la vendieron por tan solo 500 rupias (alrededor de 6 USD al tipo de cambio actual). Otra filtración masiva de datos ocurrió en 2023, la cual afectó a 815 millones de indios.

Los bancos y las fuerzas del orden siguen aconsejándoles a las víctimas de las filtraciones que desactiven la autenticación biométrica para los servicios financieros. Pero eso no es garantía de seguridad, ya que sus nombres, números de pasaporte, fotos, huellas dactilares y otros datos están probablemente en manos de ciberdelincuentes.

5.    Facebook

Resumen: la empresa no notificó a los usuarios sobre una filtración de datos que conocía desde hacía dos años.

Cuándo: 2019.

Quién se vio afectado: 533 millones de usuarios de Facebook.

Ya nadie se sorprende al ver las palabras “Facebook” y “filtración” una al lado de la otra. La plataforma suele ser víctima de ciberataques y filtraciones internas. Esta filtración en particular, la más grande en la historia de la empresa, hizo que los nombres, números de teléfono y datos de ubicación de 533 millones de usuarios cayeran en manos de los ciberdelincuentes. Estos ciberdelincuentes publicaron los datos en un foro de piratería donde cualquiera podía descargarlos gratis. Y no solo los datos de las cuentas de los usuarios habituales, sino también los de las figuras públicas, incluido el comisario europeo de Justicia, Didier Reynders, y el entonces primer ministro (ahora ministro de Relaciones Exteriores) Xavier Bettel de Luxemburgo.

Si sospechas que tú también puedes haber sido afectado por la filtración de datos de Facebook, utiliza nuestro Comprobador de contraseñas para averiguar si la tuya fue vulnerada en esta u otras filtraciones.

Los datos filtrados eran actuales para 2018-2019, aunque la información al respecto no apareció hasta 2021. ¿Cómo sucedió? El caso es que los piratas informáticos se aprovecharon de la vulnerabilidad en 2019, la cual Facebook parcheó de inmediato, pero luego se olvidó de informar a los usuarios del incidente (o prefirió no hacerlo). Como resultado, Meta se enfrentó a más críticas, además de una considerable multa de 265 000 000 de euros (276 000 000 de USD en 2021).

¿Qué nos enseñan estas filtraciones?

El hilo conductor de todas estas historias es: “Las grandes empresas tecnológicas ayudan a quienes se ayudan a sí mismos”. En otras palabras, nosotros somos los principales responsables de la seguridad de nuestros datos; no Facebook, ni Yahoo, ni siquiera los Gobiernos. Cuida tus cuentas, crea o genera contraseñas seguras, guárdalas en un administrador de contraseñas fiable y ten especial cuidado con los datos biométricos.

Consejos