Have I Been Pwned (HIBP) ha incorporado 284 millones de direcciones de correo electrónico comprometidas por malware que roba información en su servicio de notificación de infracciones.
Los datos se originan a partir de un corpus de 1,5 TB de registros de ladrones denominado “ALIEN TXTBASE”, lo que marca una de las incorporaciones de conjuntos de datos relacionados con malware más grandes en los 11 años de historia de HIBP.
Esta actualización amplía el repositorio de HIBP para incluir 493 millones de pares únicos de correo electrónico y sitio web e introduce herramientas críticas para que las organizaciones combatan los ataques basados en credenciales.
El conjunto de datos surgió de un canal de Telegram operado por ciberdelincuentes que distribuyeban registros de ladrones: registros de credenciales recopilados por malware como RedLine o Vidar.
Estos registros capturan pulsaciones de teclas, contraseñas almacenadas en el navegador y cookies de autenticación de dispositivos infectados.
El fundador de HIBP, Troy Hunt, colaboró con agencias gubernamentales internacionales para adquirir el corpus de 744 archivos, que contenía 23 mil millones de entradas sin procesar de credenciales extraídas de las máquinas de las víctimas.
La verificación implicó hacer referencias cruzadas de las entradas con los servicios de destino. Por ejemplo, las cuentas de Netflix que figuran en los registros se confirmaron mediante flujos de restablecimiento de contraseñas geocercados, accediendo a portales de inicio de sesión específicos de cada país (por ejemplo, /ph-en/login para usuarios filipinos) a través de VPN.
Hunt validó la coherencia geográfica probando las entradas con puntos finales de autenticación localizados, confirmando tanto la existencia de la cuenta como la precisión del malware al capturar contextos de inicio de sesión.
HIBP introdujo dos API GraphQL en su nivel de suscripción Pwned 5 para ayudar a las organizaciones a mitigar los riesgos:
Búsqueda de registros de robo centrada en el dominio: permite a los administradores de dominio recuperar todos los alias de correo electrónico (p. ej., john@ en [email protected]) y dominios de sitios web asociados (p. ej., netflix.com) de sus dominios controlados por DNS. Genera asignaciones JSON como {“john”: [“netflix.com”]}.
Búsqueda de operadores de sitios web: permite a los proveedores de servicios como Netflix recuperar todas las direcciones de correo electrónico expuestas en registros de ladrones cuando los usuarios ingresan credenciales en sus dominios, devolviendo matrices como [“[email protected]”].
Estas API abordan los vectores de ataque de relleno de credenciales al permitir que las empresas identifiquen cuentas comprometidas y apliquen la autenticación multifactor o el restablecimiento de contraseñas.
El nivel Pwned 5 proporciona límites de tarifa de 1000 solicitudes/minuto, con precios a partir de $3500/mes para acceso sostenido.
El repositorio de violación de contraseñas de código abierto de HIBP agregó 244 millones de nuevas contraseñas únicas de ALIEN TXTBASE, incluidos patrones como tender-kangaroo y CaptainKangaroo.
El servicio ahora contiene más de 13 mil millones de credenciales comprometidas, con 10 mil millones de solicitudes mensuales de API que informan las políticas de contraseñas a nivel mundial. El modelo de k-anonimato garantiza que los usuarios puedan verificar las contraseñas de forma segura mediante prefijos hash SHA-1 parciales.
Implicaciones para la ciberseguridad
- Los proveedores de identidad como Okta o Microsoft Entra ID obtienen datos procesables para reforzar las políticas de acceso condicional contra las credenciales obtenidas por ladrones de registros.
- Los equipos SOC ahora pueden rastrear fugas de credenciales hasta campañas de malware específicas en lugar de «violaciones de terceros» genéricas.
- Priorización de CISO: con el indicador de infracción IsStealerLog de HIBP, las organizaciones pueden clasificar los incidentes que involucran compromisos directos de malware en volcados masivos de bases de datos.
