Password Checkup es una extensión de Chrome, el navegador de Google, que te dice si tus contraseñas hacen parte de filtraciones, de bases de datos de criminales informáticos, o si están de alguna manera comprometidas. Esta herramienta analiza de manera automática las contraseñas que usas para iniciar sesión en diferentes servicios y te dice qué cuentas tienes seguras y cuáles no.

Para leer más sobre cómo proteger tu contraseña, visita este enlace.

Cuando descargamos la extensión e iniciamos una sesión en un sitio web, Chrome envía nuestros datos encriptados (usuario y contraseña) para ver si están en alguna de las bases de datos. La respuesta se envía encriptada de vuelta al navegador, donde solo el usuario podrá ver si sus datos están comprometidos, explica el portal 9 to 5 Google.

Google estaría pensando en incorporar la extensión en Chrome de manera definitiva para hacerla una función del navegador, que podrá ser activada o desactivada por el usuario.

En caso de que no quieras usar Password Checkup, existen otras herramientas para verificar que tus cuentas están a salvo. Un ejemplo es Have I Been Pwned, un servicio gratuito en Internet que te permite saber si tu correo electrónico hace parte de alguna base de datos de criminales informáticos o si fue víctima de alguna filtración de datos.

Por ahora, en Canary, el navegador donde Google hace todas las pruebas que después serán implementadas en Chrome, Password Checkup no aparece como una funcionalidad, lo que quiere decir que no será incluida pronto en el navegador.

Imagen: Google. 

Incluso los ejemplos que puse pueden adivinarse. Pero algo como ji32k7au4a83 no parece decir nada y, al menos en apariencia, es una contraseña muy difícil de descubrir. Pero no, aunque no lo creas, según Have I Been Pwned es usada por muchas personas y ha sido objeto de 141 violaciones de seguridad.

Para que entiendas mejor el contexto, Have I Been Pwned (HIBP) es una página, creada por el experto en seguridad Troy Hunt, que recopila información de 551.509.767 contraseñas que han sido expuestas a violaciones de seguridad. El sitio web tiene una herramienta en la que puedes poner tus contraseñas y saber si han sido objeto de alguna violación de datos y debes cambiarla o no.

La pregunta es ¿por qué una contraseña tan rara y difícil ha sido expuesta tantas veces? El ingeniero de hardware y software, autodenominado hacker, lanzó un desafío en su cuenta de Twitter para quien sea capaz de explicar la razón por la que esa extraña contraseña es insegura.

Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed

— R. Ou (@rqou_) March 1, 2019

Es como si me hablaran en chino

En el hilo del trino se puede leer la razón, que es tan compleja como el propio password, pero que trataré de resumir lo mejor que pueda. Para aprender a hablar las distintas lenguas chinas, especialmente el mandarín, se usa un sistema fonético de símbolos llamado Zhuyin Fuhao o Bopomofo (por las primeras letras del alfabeto chino), que contiene 37 símbolos especiales que representan los sonidos de 21 consonantes y 16 vocales.

https://twitter.com/bofh453/status/1101335595916451840

Ese es uno de los sistemas, si no el más, utilizado por los taiwaneses para escribir y, además, es reconocido por Unicode e ISO. No entiendo muy bien cómo funciona el asunto, pero básicamente, si se divide la contraseña en varias partes de a tres caracteres y se usa el sistema Unicode, se forma un kanji (o creo que es un kanji, parece un kanji) diferente que, al traducirlo, dice “My Password” o, en español, “Mi Contraseña”.

Explíqueme más despacio que tengo una toalla

Para ser más claros, la contraseña completa es ji32k7au4a83, si la dividimos de a tres caracteres quedaría ji3 2k7 au4 a83. Si haces una búsqueda en Internet de cada una de esas partes, encontrarás algo como esto ji3: 我, 2K7: 的, au4: 密, a83: 碼. Buscando en Internet, descubres que esta es la traducción de cada ‘kanji’: 我: M, 的: Y, 密: PASS, 碼: WORD.

Hay una explicación más compleja de fonética y construcción lingüística que no comprendo porque es como si me hablaran en chino (momento, sí me están hablando en chino) y que por eso no explicaré. En resumen, para aclarar todo el enredo anterior: ji32k7au4a83 es un Bopomofo que traduce 我 的 密 碼 y que, a su vez, traduce “my password” o “mi contraseña”. Esa es la razón, así de simple. Si te quieres estallar la cabeza, puedes investigar más sobre el asunto, yo me rindo y lo dejo ahí. Si alguien más me pregunta sobre el tema, mi respuesta es: solo hay una explicación, chinos.

Imágenes: Yclinf y Grindi (vía: iStock)

Los datos fueron encontrados por la firma de seguridad Troy Hunt, que manejan el famoso sitio Have I been Pwned y estaban disponibles en Mega, un servicio de transferencia de datos y nube.

En total se encontraron 772.904.991 cuentas de correo únicas y 21.222.974 contraseñas. Así mismo, 1.160.253.228 combinaciones únicas de correos electrónicos y contraseñas. Esto quiere decir que si tú usas el mismo mail con la misma combinación en diferentes sitios web, probablemente deberías en estar cambiando tus datos en este mismo momento o eliminado tus datos sensibles.

Está mi correo electrónico en la lista de ‘Collection #1’

Como ya lo dijimos, la lista fue encontrada por la firma que creó Have I been Pwned, un sitio web que permite verificar si tu correo electrónico hace parte de las infiltraciones. Así que basta con que teclees tu email y el sitio te dirá no solo si  tu cuenta se vio comprometida con ‘Collection #1’, sino con cualquier otra infiltración conocida hasta el momento.

Sí, revisamos para ver que funcionaba y, en mi caso, hago parte de los correos que se encuentran en la lista encontrada por Troy Hunt y otras dos filtraciones que sucedieron en el 2016.

Estos son los pasos para revisar si alguno de tus correos ha sido expuesto:

1. Ingresa al sitio haveibeenpwned.com, puedes simplemente copiar y pegar la dirección en tu navegador o dar clic, te dejamos el enlace directo.

2. Esto te abrirá una página que te hará desconfiar. Pero es una medida del sitio para evitar robots. Simplemente dale clic a la casilla de No soy un robot y espera que te redireccione.

3. En la casilla para poner tu correo electrónico, simplemente ingresa el email que quieres revisar.

4. Dale clic al botón ‘pwned?’

5. La página te mostrará en un cuadro en rojo si tu correo ha sido expuesto en alguna de las filtraciones. De lo contrario, aparecerá una pantalla con algunas recomendaciones de seguridad.

Imágenes: Captura de pantalla y SolarSeven (iStock).