El mundo de la ciberseguridad ha sido testigo recientemente de un evento que ha dejado a todos boquiabiertos. Un archivo de texto titulado rockyou2024.txt apareció en la dark web, sacudiendo el entorno de la seguridad informática. Este archivo no tiene ninguna relación con la canción de Scorpions o Queen, a pesar de lo que su nombre pueda sugerir a los amantes de la música. La verdadera connotación de «rockyou» en este contexto se refiere a la capacidad de sorprender, impactar o sacudir, en lugar de hacer referencia a un himno del rock.
Entonces, ¿qué es lo que ha hecho este archivo para generar tal revuelo? Según Cybernews, rockyou2024.txt contiene nada menos que alrededor de 10 mil millones de contraseñas en texto plano. Para ser precisos, el archivo alberga 9.948.575.739 credenciales únicas, un número que lo convierte en la mayor recopilación de contraseñas jamás vista en la historia de la ciberdelincuencia.
Después de un profundo análisis de su contenido, los investigadores han llegado a varias conclusiones. La primera es que las contraseñas son reales. La segunda es que el archivo incluye tanto contraseñas que se habían obtenido en filtraciones anteriores como otras que nunca antes se habían hecho públicas. El archivo fue creado el 4 de julio y su autor, conocido por el seudónimo de ObamaCare en el foro donde lo compartió, ha filtrado anteriormente información de la firma de abogados Simmons & Simmons, del casino en línea AskGamblers y solicitudes de estudiantes de Rowan College.
Este no es el primer archivo de este tipo que aparece en la dark web. Hace tres años, se filtró un documento llamado RockYou2021.txt que, en su momento, se convirtió en la mayor lista de credenciales filtradas. Ese archivo contenía alrededor de 8.400 millones de contraseñas, todas las cuales están incluidas en RockYou2024. Esto sugiere que se han añadido más de 1.500 millones de nuevas credenciales en los últimos tres años.
La aparición de este archivo recalca la importancia de la ciberseguridad y pone de relieve los riesgos de utilizar contraseñas inseguras. Sin embargo, incluso el uso de una contraseña segura no garantiza que nuestras cuentas no vayan a ser vulneradas. En este sentido, la eficacia de los ciberdelincuentes y la negligencia de algunos responsables de seguridad de servicios en línea hacen que confiar únicamente en una contraseña sea insuficiente.
Varias empresas tecnológicas llevan años trabajando en Passkey, un sistema que pretende eliminar las contraseñas como método de autenticación. Aunque su implementación no es tan rápida ni generalizada como nos gustaría, el cambio ya ha comenzado. Entre tanto, la mejor opción es utilizar sistemas de doble autenticación, que ofrecen un nivel de seguridad mucho más alto.
Además, hay dos recomendaciones básicas que a menudo se pasan por alto. La primera es no utilizar el mismo conjunto de nombre de usuario/email y contraseña en más de un servicio. La segunda es aprovechar funciones como la del gestor de contraseñas de Google Chrome, que compara nuestras credenciales con las que han aparecido en filtraciones y nos alerta si alguna de ellas ha sido comprometida. Esta es la forma más fiable de comprobar si alguna de tus contraseñas ha sido expuesta en RockYou2024.