Have I Been Pwned?

Have I Been Pwned? (HIBP; con "Pwned" pronunciado como "poned",^[1]​ y estilizado en todas las minúsculas como "'';--have i been pwned?" en el sitio web) es un sitio web que permite a los usuarios de Internet comprobar si sus datos personales se han visto comprometidos por violaciones de datos. El servicio recopila y analiza cientos de ficheros de bases de datos que contienen información sobre miles de millones de cuentas filtradas, y permite a los usuarios buscar su propia información introduciendo su nombre de usuario o dirección de correo electrónico. Los usuarios también pueden inscribirse para que se les notifique si su dirección de correo electrónico aparece en futuros volcados. El sitio ha sido ampliamente promocionado como un recurso valioso para los usuarios de Internet que deseen proteger su propia seguridad y privacidad^[2]​^[3]​ Have I Been Pwned? fue creado por el experto en seguridad Troy Hunt el 4 de diciembre de 2013.

Have I Been Pwned?
Información general
Dominio	haveibeenpwned.com
Tipo	Sitio web Organización Base de datos
Idiomas disponibles	Inglés
En español	No
Gestión
Desarrollador	Troy Hunt
Propietario	Troy Hunt
Lanzamiento	4 de diciembre de 2013
Estadísticas
Ranking Alexa	16475 (2017)
[editar datos en Wikidata]

En junio de 2019, Have I Been Pwned? tiene un promedio de unos ciento sesenta mil visitantes diarios, el sitio tiene casi tres millones de suscriptores de correo electrónico activos y contiene registros de casi ocho mil millones de cuentas.^[4]​

Características

La función principal de Have I Been Pwned? desde su lanzamiento es proporcionar al público en general un medio para comprobar si su información privada ha sido filtrada o comprometida. Los visitantes del sitio web pueden introducir una dirección de correo electrónico y ver una lista de todas las violaciones de datos conocidas con registros vinculados a esa dirección de correo electrónico. El sitio web también ofrece detalles sobre cada filtración de datos, como la historia de la filtración y qué tipos específicos de datos se incluyeron en ella.

Have I Been Pwned? también ofrece un servicio de "Notifícame" que permite a los visitantes suscribirse a notificaciones sobre futuras violaciones. Una vez que alguien se suscribe a este servicio de correo de notificaciones, recibirá un mensaje de correo electrónico cada vez que su información personal se encuentre en una nueva violación de datos.

En septiembre de 2014, Hunt añadió una funcionalidad que permitía añadir automáticamente nuevas violaciones de datos a la base de datos de HIBP. La nueva función utilizaba Dump Monitor, un bot de Twitter que detecta y difunde probables volcados de contraseñas encontrados en pastebin, para añadir automáticamente nuevas violaciones potenciales en tiempo real. Las filtraciones de datos suelen aparecer en los pastebins antes de que se informe ampliamente de ellas, por lo que la supervisión de esta fuente permite notificar antes a los consumidores si se han visto comprometidos.^[5]​

Además de detallar los sucesos de violación de datos en los que se ha visto afectada la cuenta de correo electrónico, el sitio web también indica a quienes aparecen en su búsqueda en la base de datos que instalen un gestor de contraseñas, concretamente 1Password, que Troy Hunt ha respaldado recientemente.^[6]​ Una explicación en línea en su sitio web^[7]​ explica sus motivos y mantiene que el beneficio monetario no es el objetivo de esta colaboración.^[8]​

Contraseñas Comprometidas

En agosto de 2017, Hunt hizo públicas 306 millones de contraseñas a las que se podía acceder a través de una búsqueda en la web o que se podían descargar de forma masiva.^[9]​

En febrero de 2018, el informático británico Junade Ali creó un protocolo de comunicación (que utiliza el k-anonimato y el hashing criptográfico) para verificar de forma anónima si una contraseña se filtró sin revelar completamente la contraseña buscada.^[10]​^[11]​ Este protocolo se implementó como una API pública en el servicio de Hunt y ahora es consumido por múltiples sitios web y servicios, incluidos los gestores de contraseñas^[12]​^[13]​ y las extensiones del navegador.^[14]​^[15]​ Este enfoque fue replicado posteriormente por la función Chequeo de la Contraseña de Google.^[16]​^[17]​^[18]​ Ali trabajó con academics en Cornell Universidad a formalmente analizar el protocolo para identificar limitaciones y desarrollar dos versiones nuevas de este protocolo comocido como Bucketization de Medida de Frecuencia y Bucketización basada en identificador.^[19]​ En marzo de 2020, se añadió a este protocolo un esquema de relleno.^[20]​

Historia

Lanzamiento

 

Troy Hunt, el creador de Have I Been Pwned?

A finales de 2013, el experto en seguridad web Troy Hunt analizó las violaciones de datos en busca de amenazas y comportamientos. Se dio cuenta de que las filtraciones podían afectar en gran medida a los usuarios que ni siquiera eran conscientes de que sus datos estaban en peligro y, como resultado, comenzó a desarrollar HIBP. "Probablemente el principal detonante fue Adobe", dice Hunt sobre su motivación para poner en marcha el sitio, en referencia a la brecha de seguridad de Adobe Systems que afectó a 153 millones de cuentas en octubre de 2013.^[21]​

Hunt lanzó Have I Been Pwned? el 4 de diciembre de 2013 con un anuncio en su blog. En ese momento, el sitio tenía sólo cinco violaciones de datos indexadas: Adobe Systems, Stratfor, Gawker, Yahoo! Voices y Sony Pictures. Sin embargo, el sitio tenía ahora la funcionalidad de añadir fácilmente futuras violaciones tan pronto como se hicieran públicas. Hunt escribió:  

Violación de datos

Desde su lanzamiento, el principal objetivo de desarrollo de HIBP ha sido añadir nuevas violaciones de datos lo más rápidamente posible después de que se filtren al público.

En julio de 2015, el servicio de citas en línea Ashley Madison, conocido por animar a los usuarios a mantener relaciones extramatrimoniales, sufrió una filtración de datos, y las identidades de más de 30 millones de usuarios del servicio se filtraron al público. La filtración de datos recibió una amplia cobertura mediática, presumiblemente debido al gran número de usuarios afectados y a la vergüenza percibida por tener una aventura. Según Hunt, la publicidad de la filtración provocó un aumento del 57000% en el tráfico de HIBP.^[22]​ A raíz de esta filtración, Hunt añadió a HIBP una función por la que las filtraciones consideradas "sensibles" no se podían buscar públicamente y sólo se revelaban a los suscriptores del sistema de notificación por correo electrónico. Esta funcionalidad se activó para los datos de Ashley Madison, así como para los datos de otros sitios potencialmente escandalosos, como Adult FriendFinder.^[2]​

En octubre de 2015, Hunt fue contactado por una fuente anónima que le proporcionó un volcado de 13.5 millones de direcciones de correo electrónico y contraseñas en texto plano de usuarios, alegando que procedía de 000webhost, un proveedor de alojamiento web gratuito. En colaboración con Thomas Fox-Brewster, de Forbes, verificó que el volcado era probablemente genuino, probando las direcciones de correo electrónico que contenía y confirmando la información sensible con varios clientes de 000webhost. Hunt y Fox-Brewster intentaron ponerse en contacto varias veces con 000webhost para confirmar la autenticidad de la filtración, pero no obtuvieron respuesta. El 29 de octubre de 2015, tras el restablecimiento de todas las contraseñas y la publicación del artículo de Fox-Brewster sobre la filtración, 000webhost anunció la filtración de datos a través de su página de Facebook.^[23]​^[24]​

A principios de noviembre de 2015, el Grupo Paysafe, la empresa matriz de ambos proveedores, confirmó que dos violaciones de los proveedores de pagos de apuestas, Neteller y Skrill, eran auténticas. Los datos incluían 3,6 millones de registros de Neteller obtenidos en 2009 mediante un exploit en Joomla, y 4,2 millones de registros de Skrill (entonces conocido como Moneybookers) que se filtraron en 2010 tras verse comprometida una red privada virtual. Los 7,8 millones de registros combinados se añadieron a la base de datos de HIBP.^[25]​

Ese mismo mes, el fabricante de juguetes electrónicos VTech fue pirateado, y una fuente anónima proporcionó en privado a HIBP una base de datos que contenía casi cinco millones de registros de padres. Según Hunt, esta fue la cuarta mayor violación de la privacidad de los consumidores hasta la fecha.^[26]​

En mayo de 2016, una serie de filtraciones de datos sin precedentes que se remontaban a varios años atrás se hizo pública en un breve periodo de tiempo. Estas filtraciones incluían 360 millones de cuentas de Myspace de alrededor de 2009, 164 millones de cuentas de LinkedIn de 2012, 65 millones de cuentas de Tumblr de principios de 2013 y 40 millones de cuentas del servicio de citas para adultos Fling.com. Todos estos conjuntos de datos fueron puestos a la venta por un hacker anónimo llamado "peace_of_mind", y poco después fueron proporcionados a Hunt para que los incluyera en HIBP.^[27]​ En junio de 2016, se añadió a la base de datos de HIBP una "mega brecha" adicional de 171 millones de cuentas de la red social rusa VK.^[28]​

En agosto de 2017, BBC News publicó el artículo Have I Been Pwned? sobre el descubrimiento por parte de Hunt de una operación de envío de spam que se ha nutrido de una lista de 711.5 millones de direcciones de correo electrónico.^[29]​

Esfuerzo infructuoso para vender HIBP

A mediados de junio de 2019, Hunt anunció sus planes de vender Have I Been Pwned? a una organización aún por determinar. En su blog, expuso sus deseos de reducir el estrés personal y ampliar el sitio más allá de lo que era capaz de lograr por sí mismo.^[30]​ En el momento de publicar la entrada en el blog, estaba trabajando con KPMG para encontrar empresas que considerara adecuadas y que estuvieran interesadas en la adquisición. Sin embargo, en marzo de 2020, anunció en su blog que Have I Been Pwned? seguiría siendo independiente en el futuro inmediato.^[31]​

Open-sourcing

El 7 de agosto de 2020, Hunt anunció en su blog su intención de abrir el código base de Have I Been Pwned?.^[32]​ Comenzó a publicar algunos códigos el 28 de mayo de 2021.^[33]​

Marca

El nombre "Have I Been Pwned?" se basa en el término de la jerga de los scripts "pwn", que significa "comprometer o tomar el control, específicamente de otro ordenador o aplicación".

HIBP el logotipo incluye el texto ';--, que es una cadena de ataque de inyección SQL común. Un hacker que intente tomar el control de la base de datos de un sitio web podría utilizar esta cadena de ataque para manipular un sitio web para que ejecute un código malicioso. Los ataques de inyección son uno de los vectores más comunes por los que puede producirse una violación de la base de datos; son la vulnerabilidad número 1 de las aplicaciones web en la lista Top 10 de OWASP.^[34]​

Referencias

1. «What Does 'Pwn' Mean?». www.merriam-webster.com (en inglés). Consultado el 25 de mayo de 2022. 
2. Seltzer, Larry. «How to find out if your password has been stolen». ZDNet (en inglés). Consultado el 25 de mayo de 2022. 
3. Price, Rob. «There's an easy way to see whether you've been affected by the Ashley Madison leak and previous massive hacks». Business Insider (en inglés estadounidense). Consultado el 25 de mayo de 2022. 
4. «Project Svalbard: The Future of Have I Been Pwned». Troy Hunt (en inglés). 11 de junio de 2019. Consultado el 25 de mayo de 2022. 
5. «Search engine for hacks now monitors Pastebin to find your sensitive data». The Daily Dot (en inglés estadounidense). 16 de septiembre de 2014. Consultado el 25 de mayo de 2022. 
6. «Finding Pwned Passwords with 1Password - AgileBits Blog». agilebits.com. 22 de febrero de 2018. 
7. «Have I Been Pwned is Now Partnering With 1Password». Troy Hunt (en inglés). 29 de marzo de 2018. Consultado el 25 de mayo de 2022. 
8. «Have I Been Pwned is Now Partnering With 1Password». troyhunt.com. 29 de marzo de 2018. 
9. «Need a new password? Don't choose one of these 306 million» (en inglés estadounidense). Consultado el 29 de mayo de 2018. 
10. «Find out if your password has been pwned—without sending it to a server» (en inglés estadounidense). Consultado el 24 de mayo de 2018. 
11. «1Password bolts on a 'pwned password' check – TechCrunch». techcrunch.com (en inglés estadounidense). Consultado el 24 de mayo de 2018. 
12. «1Password Integrates With 'Pwned Passwords' to Check if Your Passwords Have Been Leaked Online» (en inglés). Consultado el 24 de mayo de 2018. 
13. Conger, Kate. «1Password Helps You Find Out if Your Password Is Pwned» (en inglés estadounidense). Consultado el 24 de mayo de 2018. 
14. Condon, Stephanie. «Okta offers free multi-factor authentication with new product, One App | ZDNet» (en inglés). Consultado el 24 de mayo de 2018. 
15. Coren, Michael J. «The world's biggest database of hacked passwords is now a Chrome extension that checks yours automatically» (en inglés estadounidense). Consultado el 24 de mayo de 2018. 
16. Wagenseil I, Paul. «Google's New Chrome Extension Finds Your Hacked Passwords». www.laptopmag.com. 
17. «Google Launches Password Checkup Extension to Alert Users of Data Breaches». BleepingComputer (en inglés estadounidense). 
18. Dsouza, Melisha (6 de febrero de 2019). «Google's new Chrome extension 'Password CheckUp' checks if your username or password has been exposed to a third party breach». Packt Hub. 
19. Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (6 de noviembre de 2019). «Protocols for Checking Compromised Credentials». Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security (New York, NY, USA: ACM): 1387-1403. Bibcode:2019arXiv190513737L. ISBN 978-1-4503-6747-9. arXiv:1905.13737. doi:10.1145/3319535.3354229. 
20. Ali, Junade (4 de marzo de 2020). «Pwned Passwords Padding (ft. Lava Lamps and Workers)». The Cloudflare Blog (en inglés). Consultado el 12 de mayo de 2020. 
21. «The Rise of ‘Have I Been Pwned?’, an Invaluable Resource in the Hacking Age». www.vice.com (en inglés). Consultado el 25 de mayo de 2022. 
22. «Check if you’re the victim of a data breach with ‘Have I Been Pwned?’». Graham Cluley (en inglés británico). 5 de diciembre de 2013. Consultado el 25 de mayo de 2022. 
23. «How Troy Hunt Is Alerting Web Users Ensnared in Huge Data Breaches». 
24. Brewster, Thomas. «13 Million Passwords Appear To Have Leaked From This Free Web Host - UPDATED». Forbes (en inglés). Consultado el 25 de mayo de 2022. 
25. «Iniciar sesión en Facebook». Facebook (en inglés). Consultado el 25 de mayo de 2022. 
26. Brewster, Thomas. «Gambling Darling Paysafe Confirms 7.8 Million Customers Hit In Epic Old Hacks». Forbes (en inglés). Consultado el 25 de mayo de 2022. 
27. «One of the Largest Hacks Yet Exposes Data on Hundreds of Thousands of Kids». www.vice.com (en inglés). Consultado el 25 de mayo de 2022. 
28. Storm, Darlene (30 de mayo de 2016). «Pwned: 65 million Tumblr accounts, 40 million from Fling, 360 million from MySpace». Computerworld (en inglés). Consultado el 25 de mayo de 2022. 
29. «Giant spambot scooped up 711 million email addresses». BBC News (en inglés británico). 30 de agosto de 2017. Consultado el 25 de mayo de 2022. 
30. «Project Svalbard: The Future of Have I Been Pwned». Troy Hunt (en inglés). 11 de junio de 2019. Consultado el 11 de junio de 2019. 
31. «Project Svalbard, Have I Been Pwned and its Ongoing Independence». Troy Hunt (en inglés). 3 de marzo de 2020. Consultado el 30 de abril de 2020. 
32. Hunt, Troy. «I'm Open Sourcing the Have I Been Pwned Code Base». Consultado el 8 de agosto de 2020. 
33. Hunt, Troy. «Pwned Passwords, Open Source in the .NET Foundation and Working with the FBI». Consultado el 29 de mayo de 2021. 
34. «OWASP Top Ten Web Application Security Risks | OWASP». owasp.org (en inglés). Consultado el 25 de mayo de 2022. 

Error en la cita: La etiqueta <ref> definida en las <references> con nombre «OwaspTopTen2013» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «ZDNetHowTo» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «BizInsiderHIBP» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «ViceRiseOfHIBP» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «ViceVTechBreach» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «GrahamCluleyHIBPLaunch» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «DailyDotPastebins» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «Forbes000webhost» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «Facebook000webhostBreach» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «ForbesPaysafe» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «ComputerworldMay2016Breaches» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «ZDNetMegaBreaches» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «eWeekTroyHuntInterview» no se utiliza en el texto anterior.

Error en la cita: La etiqueta <ref> definida en las <references> con nombre «BBC711Mspambot» no se utiliza en el texto anterior.

Enlaces externos

• Sitio web oficial
• Tiene I Sido Pwned? Correo de blog del anuncio en troyhunt.com