Feb 10, 2015

Un investigador publica 10 millones de contraseñas desafiando al FBI

Mark Burnett es un investigador de seguridad informática con un curioso "pasatiempo": reunir contraseñas filtradas online para analizar lo hábitos de los usuarios. Ahora, en un arriesgado movimiento, Burnett ha publicado 10 millones de contraseñas y nombres de usuarios - y explicado al FBI por qué no debe arrestarle.
Burnett es conocido, entre otras cosas, por elaborar cada año informes en los que detalla cuáles son las peores contraseñas escogidas por los usuarios. Sí, esas de "123456", "password" y similares (puedes echar un vistazo aquí a su último informe). La forma en la que Burnett consigue estas contraseñas es buceando en foros de filtraciones y hackeos, o simplemente en miles de páginas en Internet, recolectándolos como si fueran tesoros. Así ha reunido hasta 10 millones de contraseñas y nombres de usuarios. Y los acaba de publicar aquí. Un arriesgado movimiento que le puede costar ser perseguido por el FBI.

¿Por qué ha decidido Burnett publicar semejante información? En un artículo explica que su intención es poner esa información a disposición de otros investigadores de seguridad para entender mejor la relación entre las contraseñas y los nombres de usuarios. Cosas como conocer cuántas veces solemos incluir todo o parte de nuestro nombre de usuario en la contraseña puede ayudar a entender mejor la "psicología" de los usuarios a la hora de crear un password. Esa información podría servir, por ejemplo, para desarrollar software de seguridad más efectivo, pero también podría levantar sospechas de la policía. Ya hay precedentes. El caso del activista Barrett Brown, ex de Anonymous, fue especialmente sonado: el FBI le persiguió por publicar enlaces a información filtrada. Le cayó una sentencia de 5 años de cárcel.

Burnett ha tratado de salvarse las espaldas a base de transparencia, incluso explicando por qué el FBI no debe arrestarle. Lo más importante, dice, es que se trata de contraseñas y nombres de usuarios antiguos, sin validez ya en ningún servicio online. No se puede hacer nada con ellos más que lo que él pretende, investigar y ayudar a otros investigadores. Explica también que los datos llevaban mucho tiempo accesibles a cualquiera, simplemente buscando online. Además, muchas webs como haveibeenpwned o pwnedlist ya se dedicaban a recopilarlos, sin haber recibido ninguna amenaza legal.

Veremos qué ocurre ahora. Probablemente el FBI decida no contra Burnett, pero nunca se sabe. Si tienes curiosidad por echarle un vistazo a esos 10 millones de contraseñas y nombres de usuarios, te puedes descargar el archivo completo aquí (al final del artículo). [Mark Burnett vía Ars Technica]