Cómo usar Have I Been Pwned para encontrar fugas y evitar ataques

En el mundo digital actual, la protección de los datos personales se convierte en una tarea cada vez más importante. Cada año aumentan los ciberataques y nadie está a salvo de una filtración de datos. Una de las herramientas más útiles para verificar la seguridad de tus datos es el servicio «Have I Been Pwned?» (HIBP). En este artículo explicamos cómo usar HIBP para buscar en bases de datos filtradas y damos consejos para proteger tus datos en el futuro.

¿Qué es «Have I Been Pwned?»

«Have I Been Pwned?» es un servicio en línea gratuito creado por el reconocido especialista en ciberseguridad Troy Hunt. El servicio permite a los usuarios comprobar si sus datos personales han sido comprometidos a causa de filtraciones y hackeos. Su objetivo principal es aumentar la conciencia sobre los riesgos de ciberseguridad y proporcionar herramientas para proteger los datos personales.

Historia y desarrollo de HIBP

El servicio fue lanzado en 2013 tras una importante filtración de datos de Adobe, en la que millones de cuentas de usuarios cayeron en manos de delincuentes. Desde entonces, HIBP se actualiza constantemente y amplía su base de datos, que incluye miles de millones de cuentas comprometidas por diversas filtraciones.

Actualmente, HIBP colabora con organismos gubernamentales como el FBI en EE. UU. y la NCA en el Reino Unido, los cuales proporcionan voluntariamente al servicio datos sobre cuentas comprometidas descubiertas durante sus investigaciones.

¿Cómo funciona «Have I Been Pwned?»

HIBP recopila datos de filtraciones y hackeos desde diversas fuentes, incluidos foros cibercriminales, canales de Telegram e incluso agencias gubernamentales. Cuando introduces tu dirección de correo electrónico, el sistema la compara con su base de datos. Si tu dirección está presente, recibirás una lista de filtraciones en las que tus datos han sido comprometidos.

Principales fuentes de datos

1. Foros y mercados cibercriminales. HIBP monitorea activamente foros y mercados donde los delincuentes intercambian datos robados. Por ejemplo, en 2023 se detectaron y añadieron a la base de datos más de 71 millones de direcciones de correo electrónico provenientes de la filtración de Naz.API, que incluía cuentas robadas mediante malware y listas de credenciales.
2. Canales de Telegram. En los últimos años, Telegram se ha convertido en una plataforma popular para compartir datos robados. En enero de 2024, HIBP añadió más de 361 millones de direcciones de correo electrónico únicas que se filtraron a través de canales de Telegram.
3. Agencias gubernamentales. HIBP colabora con organizaciones como el FBI y la NCA, que proporcionan datos sobre cuentas comprometidas descubiertas durante sus investigaciones. Por ejemplo, en mayo de 2021, el FBI entregó a HIBP más de 225 millones de contraseñas nuevas.

¿Cómo usar «Have I Been Pwned?»

Paso 1: Comprobación de dirección de correo electrónico

Para comprobar tu dirección de correo electrónico, visita el sitio web de «Have I Been Pwned?» e introduce tu dirección en el campo de búsqueda. El sistema verificará al instante su presencia en la base de datos y te mostrará el resultado.

Paso 2: Suscripción a notificaciones

Para estar al tanto de nuevas filtraciones, puedes suscribirte a notificaciones. Para ello, introduce tu dirección de correo electrónico en el campo correspondiente del sitio de HIBP y activa la suscripción. Recibirás notificaciones cada vez que tus datos aparezcan en nuevas filtraciones.

Paso 3: Comprobación de contraseñas

Además de comprobar direcciones de correo electrónico, HIBP también permite verificar contraseñas. Puedes introducir tu contraseña en el sitio de HIBP, y el sistema comprobará si está presente en la base de datos de contraseñas comprometidas. Esto es especialmente útil para comprobar si tu contraseña actual está siendo utilizada en otras cuentas.

¿Cómo proteger tus datos?

1. Usa contraseñas únicas para cada cuenta. Esta es una regla básica de seguridad, ya que usar la misma contraseña para varias cuentas incrementa significativamente el riesgo de hackeo. Gestores de contraseñas como 1Password o Bitwarden te ayudarán a crear y almacenar contraseñas complejas y únicas.
2. Activa la autenticación en dos pasos (2FA). Esto añade una capa extra de seguridad, al requerir un segundo factor (por ejemplo, un código de una app autenticadora) para acceder a la cuenta. Evita usar SMS para 2FA, ya que es menos seguro que las apps autenticadoras o llaves físicas como YubiKey.
3. Revisa periódicamente tus cuentas en busca de filtraciones. Suscríbete a las notificaciones de HIBP para recibir alertas si tu dirección de correo aparece en nuevas filtraciones. Esto te permitirá actuar rápidamente y cambiar contraseñas si es necesario.
4. Ten cuidado con la información que publicas en línea. Minimiza la cantidad de datos personales disponibles públicamente para reducir la posibilidad de que sean utilizados por delincuentes.
5. Usa una VPN para proteger tu actividad en internet. Una VPN ayuda a ocultar tu dirección IP y cifra tu conexión, lo que hace que tu actividad en línea sea más difícil de interceptar por parte de terceros malintencionados.
6. Actualiza el software y el sistema operativo. Las actualizaciones regulares ayudan a cerrar vulnerabilidades que los ciberdelincuentes podrían explotar para acceder a tus datos.

Conclusión

Usar «Have I Been Pwned?» es una forma simple y efectiva de vigilar la seguridad de tus datos. Las comprobaciones periódicas y el cumplimiento de las reglas básicas de ciberseguridad te ayudarán a proteger tus cuentas frente a hackeos. No olvides cambiar contraseñas con regularidad y usar autenticación en dos pasos para una protección adicional.