La Unidad Nacional de Delitos Cibernéticos (NCCU), parte de la Agencia Nacional del Crimen del Reino Unido (NCA), ha descubierto un archivo con cerca de 586 millones de contraseñas en un servidor sin nombre de almacenamiento en la nube de su país.
Según informa Cheraw Chronicle, estas contraseñas estaban vinculadas a direcciones de correo electrónico y NCCU las ha puesto en manos de HaveIBeenPwned (HIBP), la página web en la que cualquiera puede comprobar de forma gratuita si sus datos personales han sido comprometidos en violaciones de datos.
"Durante la reciente actividad operativa de la NCA, el equipo Mitigation@Scale de la NCCU pudo identificar una gran cantidad de credenciales potencialmente comprometidas (correos electrónicos y contraseñas asociadas) en una instalación de almacenamiento en la nube comprometida", indicó la NCA a HIPB en un comunicado que ha sido compartido por Troy Hunt, el creador de la página web.
"A través del análisis, quedó claro que estas credenciales eran una acumulación de conjuntos de datos violados conocidos y desconocidos. El hecho de que actores delictivos desconocidos las hubieran colocado en la instalación de almacenamiento en la nube de una empresa del Reino Unido significaba que las credenciales ahora existían en el dominio público y podrían ser accesibles para otros terceros para cometer más fraudes o delitos cibernéticos", añadía la NCA.
Hay 225 millones de contraseñas nuevas
El creador de HIBP ha valorado muy positivamente el trabajo de la NCCU y ha reconocido que su hallazgo le ha ayudado a aumentar exponencialmente la cifra de 613 millones de contraseñas que ya tenía almacenadas en su página web.
"Trabajando en colaboración con la NCA, importé y analicé el conjunto de datos con las contraseñas existentes, encontré 225.665.425 instancias completamente nuevas de un conjunto total de 585.570.857. Como tal, todo este conjunto (junto con otras fuentes que había estado acumulando desde noviembre del año pasado) se ha incorporado a una versión final de los datos de 'Pwned Passwords' publicados manualmente", explica Troy Hunt en su publicación.
Estas contraseñas ya están disponibles en la API de Pwned Password y, como recuerda Hunt, cada verificación de contraseña se realiza utilizando el modelo de anonimato-k que lanzó en 2018 para "garantizar que se mantenga la privacidad y que las contraseñas se puedan verificar de manera segura sin riesgo de divulgación".
El director de HIBP también ha anunciado el "importante hito" que ha marcado en su proyecto gracias al apoyo de la NCA y del FBI. Las fuerzas del orden de diferentes países, incluido el FBI y como ya se venía hablando, ahora pueden añadir a HIBP las contraseñas que descubran durante el transcurso de sus investigaciones, una novedad que, como ha enfatizado Hunt, no son para él ni para su servicio sino para "la comunidad".
This is a cool headline, but journos are missing something really important when they say the @NCA_UK or @FBI is giving either @haveibeenpwned or myself passwords; they’re giving **the community** passwords https://t.co/MtIr2pYuRD
— Troy Hunt (@troyhunt) December 20, 2021