Roban las contraseñas al gurú de las contraseñas 4b3q1k

Hola, esto es Cuéntame Tecnología, un podcast en el que hablamos de tecnología de forma amena y sencilla. Yo soy Javier Hernández y vamos con lo que te quiero contar hoy. Hoy es lunes 31 de marzo de 2025. Ya se acaba el mes de marzo. Bueno, no sé vosotros, pero a mí se me ha hecho largo.

Entre la lluvia y todo lo demás, que está terminando el invierno, que todavía no había tenido lugar el cambio de hora, que tuvo lugar ayer, bueno, anteayer, concretamente el sábado, o que quizá que, fijaros en una cosa, como este ha sido el primer mes en que hemos emitido todos los días un podcast, no me ha saltado ningún día, de lunes a viernes, pues igual es por eso, pues igual se me ha hecho un poco más largo desde el punto de vista bien entendido, ¿no? Bueno, sea como fuere, este mes se acaba y nosotros vamos a lo nuestro. En este episodio descubriremos cómo incluso los expertos en ciberseguridad pueden ser víctimas de ataques de phishing, bueno, en realidad de cualquier tipo de ataques.

Nos centraremos en el caso de Troy Hunt, el creador de la plataforma Have I Been Pwned?, es decir, he sido hackeado de alguna forma, dicho de alguna manera o traducido de alguna manera, he sido vulnerado, he sido golpeado, he sido hackeado. Por poneros un poco en contexto, Have I Been Pwned?, es un servicio en línea, una página web, por decirlo de manera más sencilla, creado por este tipo, por este experto en ciberseguridad, Troy Hunt, y su propósito es ayudar a los s a verificar sus direcciones de correo electrónico o contraseñas, a verificar si han sido comprometidas en filtraciones de datos que de manera recurrente se vienen produciendo.

La forma de funcionar es muy sencilla, tú introduces tu dirección de correo, tú introduces allí en esta página tu dirección de correo y la página te dice si en algún momento esta dirección de correo ha aparecido en alguna lista de correos vulnerados. Es una página muy útil, yo concretamente la he utilizado más de una vez para comprobar si alguno de mis correos ha sido vulnerado y sí, efectivamente ha habido alguno que estaba en alguna lista de correos vulnerados y por lo tanto he tenido que tomar cartas en el asunto, bien modificando las claves o modificando, incluyendo autentificaciones de doble factor o incluso pues si son direcciones de correo que no utilizo pues directamente eliminándolas, borrándolas.

Bien pues ya que este buen hombre Troy Hunt es un experto en ciberseguridad capaz de crear este servicio en línea pues cabe pensar que bueno pues él tendrá sus cuentas a buen recaudo y que por lo menos las suyas o las que él haya creado a partir de la creación de este servicio de ayuda en línea pues estarían totalmente protegidas y sería muy difícil pues llegar a vulnerarlas. Pues no, a pesar de su amplia experiencia Hunt cayó en una trampa de phishing que comprometió datos de suscriptores de su newsletter, es decir, precisamente datos de la cuenta de HBP que comprometió como digo los datos de los suscriptores de su newsletter.

Troy Hunt recibió un correo electrónico que aparentaba ser de MailChimp, el servicio que utiliza para enviar su newsletter, es un servicio que se utiliza habitualmente para muchísimas cientos de miles de newsletters, un servicio muy habitual y el mensaje le indicaba que había una queja de spam y que debía hacer clic en un enlace para resolver el problema.

Parece ser que este muchacho venía de hacer un viaje en avión, no se sabe dónde, tampoco importa, y estaba un poquito afectado por el cansancio y el jet lag, debido a lo cual pues Hunt no detectó las señales de alerta pues que normalmente pues en su cabeza aparecen cuando recibe un correo de estas características y accedió al enlace, lo que permitió a los atacantes obtener a su cuenta de MailChimp. Con ello consiguieron extraer información de aproximadamente 16.000 suscriptores incluyendo direcciones de correo electrónico y direcciones IP. Algo así como el cuento del cazador cazado, en fin, qué vamos a decir, yo qué sé, una mala tarde la tiene cualquiera.

Lecciones aprendidas de este ataque. Este incidente subraya varias lecciones clave. La primera, la vulnerabilidad humana. El vector más vulnerable en todas estas historias siempre es el humano. Recordemos pues los ataques como los del CEO, etcétera, etcétera. Siempre hay un señor, una señora con sus deditos, con sus manitas, tocando y pinchando donde no debe, ¿no? Y bueno,