Con los años, muchos sitios web y servicios han sido hackeados por grupos de hackers black hat. A partir de estos hacks se encuentran listas que contienen correos electrónicos comprometidos y sus contraseñas, todos los cuales son utilizados con frecuencia por estos grupos como moneda de cambio para extorsionar a sus víctimas por dinero.
Debido a la cantidad de datos que se roban de estos hacks, podría ser un asunto tedioso para depurar a través de la información y así averiguar si su correo electrónico y la contraseña podría verse comprometida.
Para facilitar este proceso, Troy Hunt el director regional de Microsoft y MVP for Desarrollador de Seguridad ha utilizado su propio tiempo libre para desarrollar un sitio web llamado «Have I Been Pwned?» Que puede ayudar a los usuarios a averiguar si sus datos de acceso o de inicio de sesión están en riesgo.
La forma en que funciona este sitio web es relativamente sencillo: el usuario introduce su dirección de correo electrónico y contraseña en el cuadro de diálogo proporcionado y haga clic en el botón «pwned?». Después de unos segundos, el sitio web muestra información sobre la seguridad de sus datos de inicio de sesión.
Si los datos de inicio de sesión en cuestión son seguras, el sitio web mostrará una etiqueta verde que informa al usuario de que sus credenciales de inicio de sesión no aparecen en la base de datos, lo que los hace seguros en el momento de la comprobación.
Sin embargo, si las credenciales de inicio de sesión aparecieran en la base de datos de hacks y contraseñas conocidos, el sitio web mostraría una advertencia de color rojo que informa al usuario de que sus credenciales pueden verse comprometidas.
En el caso de que el usuario esté buscando su dirección de correo electrónico o nombres de usuario, el sitio web también destacará los hacks que pueden haber comprometido sus credenciales.
La información que se utiliza para crear «Have I Been Pwned?» se ha obtenido de listas de volcado de datos Anti Public y Exploit.in. Como tal, el sitio web tiene un cierto grado de precisión a la hora de identificar si una contraseña ha sido comprometida o no.
Si bien la lista es confiable, Hunt mencionó que el sitio web no es en absoluto perfecto, y que los usuarios aún deben estar atentos a la seguridad de sus cuentas.
Lo más importante de todo es que Hunt les recuerda explícitamente a aquellos que buscan usar el sitio web que nunca ingresen una contraseña que actualmente están usando para sus cuentas. Si bien el sitio web no registra las contraseñas, Hunt cree que ingresar una contraseña en cualquier servicio de terceros al azar no es exactamente un acierto.
