Acabamos de descubrir la mayor filtración de datos de la historia: 26.000 millones de cuentas, al descubierto

En realidad la seguridad de la contraseña (ya sea en caracteres como en datos biométricos) no tiene nada que ver con la seguridad con la que se guardan los datos en una base de datos.

Las bases de datos almacenan masivamente datos cómo teléfonos e emails que pueden ser accedidos por los administradores del sistema. Si un hacker consigue acceder a ellos, no hace falta que "reviente" ningún password ni dato biométrico.

Los passwords no se han de guardar nunca planos en una base de datos. Siempre hasheasos y salteados.

Obviamente nunca se guardan planos. Pero por mucho que los passwords estén protegidos, los datos asociados a ese password (o cuenta) se guardan planos en base de datos. Si el hacker tiene acceso a la base de datos, da igual que la contraseña de tu cuenta sea super-segura.

Una cosa es la seguridad de tus datos, otra es la seguridad de tu cuenta.

No.

Que el atacante no disponga de tu password no significa que no pueda acceder al resto de tus datos. Los datos residen en el aplicativo pero no están encriptados según tu password, están en plano (la mayoría de ellos). Es decir, el atacante no accede una por una a las cuentas, haciendo login/accediendo al site, no. Lo que hace el atacante es acceder directamente a la base de datos donde residen la mayoría de datos sin encriptar. Eso significa que pueden sacar listados completos de teléfonos con los que llamarte o vendérselos a terceras empresas, o tus registros de actividad para enviarte publicidad, por decirte sólo un par problemas.

¿Pero qué dices de que "hay mucha gente que lo guarda en texto plano" refiriéndote al almacenamiento de la contraseña?
Como si alguien decida que el servicio que uses lo pueda guardar hasheado o simplemente como un texto plano tal cuál.

En serio, opinad si queréis pero dejad de afirmar tonterías. No hay "gente", hay empresas que almacenan tus datos junto a tu contraseña hasheada. El problema aquí es que los hackers normalmente lo que buscan es todo lo que no está hasheado, como tu número de teléfono, e-mail, etc. Si entras tu e-mail y teléfono en una página de hotel por ejemplo, el hacker puede usar eso para ver en cuántos sitios más te has registrado con ese correo, vender esa info a terceros, hacerte phishing y de ahí hacerse con tu contraseña de e-mail o vender la información.

Sin dura, han sido los de Xataka los grandes descubridores de todos los hitos de la humanidad. Por lo menos eso es lo que afirman sus titulares.

Hombre, eso de "per sé" es relativo. Tu número de DNI o la dirección de tu casa, los horarios en los que no hay nadie en tu casa o tu número de tarjeta de crédito no son datos sensibles per sé tampoco. Todo depende de quién tenga esos datos y qué uso le den. Un repartidor de Amazon tiene casi todo eso de nosotros y no nos preocupa o no le damos importancia porque per sé no va a usarlos para robarnos o a secuestrar a los niños a la salida del colegio. Pero obviamente yo preferiría que mi teléfono estuviera encriptado incluso para el transportista que me trae el paquete.

La seguridad muchas veces va de mano de regulaciones del siglo pasado y no se toman medidas hasta que es muy tarde. Está en nuestra mano protegerlos tanto como sea posible, como usar el doble factor de autenticación, no usar el mismo correo en webs o foros que el que usamos para cosas importantes, etc. E incluso así no hay garantías de que encuentren la manera de que se puedan meter en tu cuenta por algo que no está en tus manos. Como el hackeo que le hicieron a Orange, todavía me pregunto cómo es posible que empresas tan grandes tengan vulnerabilidad tan estúpidas.

Tienes que conocer cómo funciona la RGPD. La RGPD hace una distinción clara entre los datos personales y los datos sensibles. Un número de teléfono, por sí mismo, no es un dato sensible y no hace falta protegerlo. Tus datos genéticos o creencias religiosas sí.

La RGPD establece que los datos personales, aunque puedan guardarse en plano, es recomendable "pseudonimizarlos" para que, en caso de ataque, no pueda establecerse de forma fácil ni directa una relación entre el dato personal y la persona a la que hace referencia. Pero ello no significa que tus datos personales estén a salvo de según qué atacantes, ni que el atacante no pueda usarlo aunque no sepa a qué persona hace referencia (por ejemplo, un teléfono o un email).

De hecho, salvo que en algún caso particular o precepto legal se llegue a una conclusión judicial de que uno de esos datos personales sirvió para extraer un dato sensible, los datos personales no hace falta protegerlos por parte de los administradores de sistema. La RGPD no lo obliga.

¿Doble factor de autenticación? ¿No usar el mismo correo? ¿No repetir contraseñas?, etc... No hay que confundir a la gente. La gente entiende que cuanto mejor sea su contraseña, más a salvo van a estar sus datos y eso no es necesariamente así. Un ataque como el de esta noticia se salta cualquier tipo de seguridad aplicada a las cuentas (contraseñas) porque el atacante ha sido capaz de acceder a las bases de datos. Medidas como ir cambiando la contraseña, no usar el mismo correo o el doble factor de autenticación son muy recomendables y ayudan a proteger parcialmente tus datos, pero no estás exento de ser víctima de una brecha de seguridad.

Compañías grandes como Google, Orange, Facebook, X, etc. han tenido brechas de seguridad como cualquier otra. La gente debe saber que NO hay empresa en este mundo que no haya tenido una brecha de seguridad. Como decían por ahí arriba, sólo existen 2 tipos de empresas, las que han tenido una brecha de seguridad y las que van a tenerla. El mundo del hacking está en constante desarrollo y, si me preguntas mi opinión personal, no sería raro que estas brechas tengan algo que ver con gente interna de la propia empresa.

Tú, como persona particular, móntatelo como tú quieras: doble factor de autenticación, usar más de un email, etc. Mi recomendación, como ingeniero informático y trabajador del mundo web, es que lo primero y esencial es abrirte cuanto menos cuentas mejor y ceder cuantos menos datos mejor, y luego ya te preocupas por el doble factor y los emails. Es mi recomendación, pero allá cada uno con lo que quiera hacer, las fotos que quiera compartir y la cantidad de datos que da a terceros. Tú eres esclavo de lo que das y dueño de lo que te quedas sólo para ti.

Lo están, pero no importa, lo que buscan al sacar esa información no es conseguir tu contraseña de LinkedIn, es saber tu número de teléfono y tu email, con eso y sabiendo donde está tu cuenta de correo registrada pueden bombardearte con phising y/o vender tus datos.

Y alguno tiene 5 de cada.

No cuentes mis secretos!!!

Tú para escribir aqui ya tienes al menos dos. La de xataka, y la de un correo o una red social.

Todo el mundo con internet va a tener cuentas en decenas de paginas y servicios. Además habría que sumar las cuentas corporativas, asociaciones y demás.

Multicuentas, como aquí :D

Que tenemos más de los que querríamos......

El otro día hice recuento de mis cuentas, por guardarlo todo en un keepass, tengo 72 cuentas, entre diferentes sitios, etc.

Obviamente, con usuarios diferentes en muchas de ellas. Pero los numeros me cuadran.