Fue en 2012. LinkedIn, “la mayor red profesional del mundo” según su web, pensó que no era muy grave y lo dejó correr. Unos hackers habían filtrado 6,5 millones de contraseñas de la base de datos de la empresa exponiendo en la Red la información personal de otras tantas cuentas. La empresa pidió disculpas, recomendó a los usuarios cambiar la contraseña y se comprometió a investigar lo ocurrido. Nunca reveló el número exacto de cuentas involucradas. Cuatro años después sabemos que fueron, al menos, 100 millones. Ahora LinkedIn sí lo confirma.
Y no es que diga “sí” con los ojos cerrados. Cory Scott, jefe de seguridad de la compañía, contaba el miércoles en el blog corporativo que LinkedIn ha invalidado las contraseñas de 100 millones de usuarios ya que se han dado cuenta que el fallo de seguridad que tuvo lugar en el 2012 era mayor de lo esperado. Más de diez veces. “Hemos comenzado por invalidar las contraseñas de las cuentas creadas antes de la brecha de seguridad de 2012 y que no habían actualizado su contraseña desde entonces”, cuenta Scott en el comunicado.
Hace cuatro años, ni LinkedIn dio a conocer cuántos perfiles fueron expuestos al fallo de seguridad ni los hackers pidieron suma monetaria alguna por la información. En 2016, la persona que ha puesto en venta los 117 millones de cuentas del portal se lo ha pensado mejor. Peace -Paz, en inglés-, contó a Motherboard que robó los datos durante la brecha de seguridad de la plataforma en 2012 y que ahora los vendía por cinco bitcoin -unos 2.000 euros- en The Real Deal, un sitio de compraventa alojado en la deep web.
Más de 167 millones en total
Al menos 100 de los 117 millones de cuentas que dice tener Peace son reales. Troy Hunt, un experto en ciberseguridad, fue la primera persona en darse cuenta de que había alguien vendiendo las credenciales de los perfiles en Internet. Sin embargo, no solo el hacker con el que contactó Motherboard sería el único poseedor de los datos: según LeakedSource, una extensa base de datos que almacena unos 1.250 millones de cuentas cuya seguridad ha sido comprometida, en total han sido hackeados 167.370.910 de perfiles.
La web, además, ofrece una tabla con las 49 contraseñas más utilizadas. Al menos 753.305 usuarios tenían como clave de acceso 123456. Esta era la consigna más utilizada entre los usuarios del portal. En segundo lugar se encuentra el nombre de la propia red profesional, linkedin, que 172.523 personas utilizaban para entrar. Y el top 3 lo completa la palabra password, usada por 144.458 usuarios. “Las contraseñas estaban almacenadas en SHA1 -un algoritmo criptográfico- sin salt. Este no es lo que los estándares de Internet proponen. Solo 117 millones poseen contraseñas y sospechamos que el resto de usuarios registrados usaban Facebook para entrar o algo similar”, concluyen en LeakedSource.
Tanto Peace como la página web se ponen de acuerdo en que, de los más de 167 millones de cuentas de LinkedIn cuyos datos fueron robados en 2012, 117 millones tenían encriptados sus contraseñas y direcciones de correo. “Simplemente, es que está saliendo ahora. La gente no se lo había tomado muy en serio hasta el momento de propagarse la noticia”, decía un administrador de LeakedSource a Motherboard. Y aportaba más misterio al asunto: “Por lo que yo sé, la base de datos la tenía un pequeño grupo de rusos”.
LeakedSource también consiguió hacerse con el 90% de las contraseñas en 72 horas, según le contó a Motherboard. El experto en ciberseguridad Troy Hunt se puso en contactó con algunas de las víctimas. Hunt les abordó con su supuesta contraseña y los usuarios de LinkedIn le confirmaron que, en efecto, era esa la clave que utilizaban para entrar al portal.
Por su parte, “la mayor red profesional del mundo”, aunque al principio rechazó hacer comentarios al respecto, ha tenido que salir al paso de las informaciones a través del blod de Cory Scott. En el pasado, LinkedId ya tuvo que incorporar una importante actualización de seguridad en su app para smartphones debido a un fallo de encriptación que provocaba que la información contenida en las entradas del calendario estuviesen “al aire” en la Red.