Sobre los 5 millones de contraseñas de Gmail

El pasado 10 de septiembre se desataba la noticia de que se habían filtrado nada menos que 5 millones de contraseñas de Gmail en claro. Rápidamente todos los medios de comunicación especializados se hicieron eco de la noticia y la alarma corrió por foros y redes sociales. Más tarde Google emitió un comunicado indicando que sus sistemas no habían sido vulnerados, y desde entonces nada más se ha vuelto a saber.

La sospecha es que las contraseñas no habían salido de Google, sino de algún otro sitio en Internet menos protegido. Digamos del “Blog Pepe”. La noticia también apuntaba a que, probada una pequeña muestra de la filtración, se podía inferir que el 60% de las contraseñas publicadas eran válidas en Gmail. Esto significa que al menos el 60% de las personas de esa lista utiliza la misma contraseña en Gmail que en “Blog Pepe”.

El listado de cuentas comprometidas se puede encontrar fácilmente en Internet. El listado completo con contraseñas no es mucho más difícil de conseguir. Yo he dado con él, y me he permitido cargarlo en un SQLite para sacar el Top 20 de contraseñas más utilizadas. Ahí va:

TOP 20 de Contraseñas

Posición

Contraseña Apariciones

1

123456 23116
2 password 5569
3 123456789 5379
4 12345 3974
5 qwerty 2922
6 12345678 2491
7 111111 1682
8 abc123 1499
9 123123 1476
10 1234567 1352
11 1234567890 1343
12 iloveyou 925
13 1234 923
14 password1 895
15 27653 889
16 000000 808
17 zaq12wsx 738
18 monkey 722
19 qwerty123 717
20 tinkle 716

De este listado se pueden extraer varias conclusiones:

  • La contraseña más utilizada es “123456”, seguida de “password”.
  • La mayor parte de las contraseñas son exclusivamente numéricas, las más fáciles de reventar por fuerza bruta.
  • Prácticamente todas representan secuencias sobre el teclado, y no sólo “123456” y derivados, sino también “qwerty” y “zaq12wsx”.
  • En general, las contraseñas son muy cortas, entre 6 y 8 caracteres.
  • Las que no son números ni secuencias son palabras del diccionario.

Las filtraciones de contraseñas están a la orden del día. En este caso la filtración no parece proceder de los sistemas de Google, pero en ocasiones pasadas se han visto comprometidos muchos sistemas de grandes compañías como Adobe (152 millones), mail.ru (casi 5 millones), Forbes (1 millón), Yahoo (medio millón), Vodafone (56.021), Sony (37.103) y muchos más. Puedes comprobar si tu cuenta está afectada visitando have I been pwned?

Siento decirte que si tu cuenta aparece en la filtración de Gmail, o en cualquier otra, tu email va a pasar a estar en las listas de los spammers de todo el mundo. Prepárate para recibir SPAM como un bellaco.

Y a continuación algunos consejos para minizar daños en el futuro:

  • Utiliza contraseñas únicas. No puedes evitar que un sitio web se vea comprometido, pero al menos puedes evitar que la información que extraigan sirva para acceder a otros servicios donde estés registrado. Utiliza una contraseña diferente en cada sitio web en el que te registres, o como mínimo hazlo en los sitios importantes.
  • Utiliza contraseñas complejas. Sobre todo en los servicios importantes. Asegúrate de que tengan más de 12 caracteres y que incluyan números, letras mayúsculas y minúsculas, y algún símbolo.
  • Tu cuenta de correo es la llave de muchas puertas. Protégela adecuadamente con una clave robusta y accede sólo desde ordenadores confiables, preferentemente el tuyo propio.
  • Activa la autenticación en dos pasos en todas tus cuentas. Esta opción está disponible en Google, Apple, Microsoft, Facebook, y muchos más. Te permite pasar de un escenario donde la llave es “algo que sabes” a un escenario mucho más seguro del tipo “algo que sabes + algo que tienes”.
  • Plantéate el uso de un llavero offline de contraseñas. Esto te permitirá manejar contraseñas complejas sin volverte loco, y de paso te olvidarás del típico problema de “¿qué usuario/email utilicé para registrarme en esta web?”. Tienes muchas opciones, aunque me centraré en algunas de Software Libre: KeePass para Windows, KeePassX como opción multiplataforma, y KeePassDroid para Android. Ya no tienes excusa.
  • Cambia periódicamente las contraseñas de tus cuentas principales. Tus cuentas importantes merecen un cambio de contraseña cada cierto tiempo. Si estás utilizando un llavero offline puedes incluso especificar la caducidad de la contraseña, y él mismo te avisará llegado el momento.
  • Utiliza una segunda cuenta de correo destinada exclusivamente como método de recuperación de tus cuentas principales. Prácticamente cualquier servicio importante permite introducir una segunda cuenta de correo para recuperación de clave en caso de olvido o robo. Utiliza una contraseña única y almacénala en lugar seguro fuera incluso de tu llavero offline. Un trozo de papel guardado en casa servirá. En general no necesitarás acceder a ella, pero debes ser capaz de recordar dónde pusiste la clave.

Con estos consejos espero que en la próxima filtración os veáis menos expuestos.