Cómo saber si tu password de LinkedIn ha sido capturado

LinkedIn es la red social profesional por excelencia, con 9 años de vida ya ha superado los 160 millones de usuarios alrededor del mundo, logrando una muy buena penetración de mercado en América Latina, como en gran parte del mundo. Pero ayer salió a la luz que han extraído los hashes de 6 millones de contraseñas de LinkedIn y se han publicado en una cuenta rusa al estilo Dropbox.

Hay que aclarar que la lista sólo contiene los hashes de las passwords y que no hay ninguna dirección de correo electrónico o nombres de la lista asociadas a esas contraseñas, pero eso no indica que quién los haya extraído no los tenga.

Las claves no han sido extraídas en texto claro, sino que lo que se ha liberado es una lista de hashes SHA1 de las contraseñas.  En la lista que está disponible por Internet hay algunos hashes que comienzan con cinco ceros: esos cinco ceros indica que ya se ha descubierto la contraseña correspondiente a ese hash.

A continuación se detallan las diferentes vías para saber si la contraseña ha sido robada:

1. Online (multiplataforma)

Los desarrolladores Chris Shiflett, Sean Coates, y Bedrich Rios han desarrollado en tan sólo unas pocas horas una manera de comprobar para ver si una contraseña de LinkedIn ha sido filtrada. Tras el descubrimiento, se han volcado de las contraseñas (ya retiradas de su ubicación original, aunque todavía ampliamente disponible en la Web) y se ha creado LeakedIn.org.

Simplemente se debe escribir la contraseña y el sitio web dictaminará si la misma se encuentra dentro del 5% de las claves capturadas. No obstante, en términos de seguridad se podrá pensar que escribir la contraseña en un sitio sin reputación y sin medidas de seguridad es totalmente descabellado y eso es una certeza. Pero esta vía es solamente una alternativa (la menso segura, por supuesto) pero vale aclarar que el sitio utiliza JavaScript para calcular el hash de la contraseña, y debido a que sólo utiliza el código del lado del cliente, la clave nunca viaja a ningún servidor, sino que en realidad queda en el equipo en el cuál se está realizando la consulta.

2. Calculando el hash manualmente (Windows)

  1. Descargar la utilidad sha1sum del sitio GNUPG: ftp://ftp.gnupg.org/gcrypt/binary/sha1sum.exe
  2. Escribir en un archivo la contraseña
  3. Abrir una consola (Inicio -> Ejecutar, escribir cmd y pulsar enter)
  4. Arrastrar primero el ejecutable (sha1sum.exe) a la ventana de comandos y después el archivo recientemente creado con la contraseña, asegurándo que queda un espacio entre el nombre del ejecutable y el del archivo.

De esa forma se consigue obtener el hash SHA1. Por lo tanto sólo queda buscarlo en la lista de hashes. Abrirla con el Bloc de notas o similar y hacer clic en la opción de búsqueda (debería estar en el menú Edición, aunque depende del programa que se utilice).

Primero buscar el hash obtenido. Si no se encuentra, probar sustituyendo los cinco primeros caracteres por ceros. Si sigue sin aparecer, eso indica que la contraseña no ha sido comprometida.

3. Calculando el hash manualmente (Mac)

  1. Abrir una consola y ejecutar oshasum
  2. Escribir la contraseña y pulsar Ctrl – D (no la tecla Comando)

De esa forma se consigue obtener el hash SHA1. Por lo tanto sólo queda buscarlo en la lista de hashes.

Primero buscar el hash obtenido. Si no se encuentra, probar sustituyendo los cinco primeros caracteres por ceros. Si sigue sin aparecer, eso indica que la contraseña no ha sido comprometida.

 

4. Calculando el hash manualmente (Linux)

  1. Abrir una consola y ejecutad sha1sum
  2. Escribir la contraseña y pulsar Ctrl – D

De esa forma se consigue obtener el hash SHA1. Por lo tanto sólo queda buscarlo en la lista de hashes.

Primero buscar el hash obtenido. Si no se encuentra, probar sustituyendo los cinco primeros caracteres por ceros. Si sigue sin aparecer, eso indica que la contraseña no ha sido comprometida.

 

Archivos necesarios:

Fuente:

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes