Varias agencias de aplicación de la ley se han unido para acabar con Genesis Market, un sitio web que vende acceso a «más de 80 millones de credenciales de acceso a cuentas», que incluían los nombres de usuario y contraseñas estándar, así como datos mucho más peligrosos como tokens de sesión. De acuerdo a un Comunicado de prensa del Departamento de Justicia de EE.UU., el sitio fue incautado el martes. La Agencia de la Unión Europea para la Cooperación Policial (o Europol) dice que 119 de los usuarios del sitio han sido arrestados.
Genesis Marketplace existe desde 2018, según el Departamento de Justicia, y fue «uno de los intermediarios de acceso inicial (IAB) más prolíficos en el mundo del ciberdelito». Permitió a los piratas informáticos buscar ciertos tipos de credenciales, como las de cuentas de redes sociales, cuentas bancarias, etc., así como buscar credenciales según el lugar del mundo del que procedían.
Las agencias se han asociado con HaveIBeenPwned.com para que sea más fácil para el público verificar si sus credenciales de inicio de sesión fueron robadas, y recomiendo encarecidamente que lo haga, debido a la forma en que Génesis funcionó, este no es el típico escenario de «simplemente cambie su contraseña y estará bien». .” Para obtener instrucciones sobre cómo verificar si Genesis estaba vendiendo su información robada, consulte el artículo de Troy Hunt, que dirige HaveIBeenPwned.
(El TL;DR es que deberías regístrese en el servicio de notificación por correo electrónico de HIBP con todas sus direcciones de correo electrónico importantes y luego asegúrese de hacer clic en el botón «Verificar correo electrónico» en el correo electrónico de confirmación. Solo buscando su correo electrónico en el sitio no decirle si se vio afectado).
Hablaremos de lo que puede hacer para protegerse si resulta que sus credenciales estaban disponibles en Genesis. un enlace para saltar a esa sección, en caso de que tenga algunas cuentas realmente importantes, pero primero, es útil comprender cómo funcionaba el mercado. En general, este tipo de empresas venderán combinaciones de nombre de usuario y contraseña, junto con otra información personal. Y aunque ciertamente no quiere que esos estén dando vueltas, la autenticación de dos factores puede ayudar a protegerlo incluso si su contraseña se ha visto comprometida.
Si bien Genesis Marketplace intercambió nombres de usuario y contraseñas, también vendió el acceso a las cookies de los usuarios y las huellas dactilares del navegador, lo que podría permitir a los piratas informáticos eludir protecciones como la autenticación de dos factores. Las cookies, o tokens de inicio de sesión, para ser específicos, son archivos que los sitios web almacenan en su computadora para mostrar que ya ha iniciado sesión ingresando correctamente su contraseña y la información de autenticación de dos factores. Son la razón por la que no tiene que iniciar sesión en un sitio web cada vez que lo visita. (También son la razón por la que el esfuerzo conjunto para derribar a Génesis recibió el encantador nombre en clave «Operación Monstruo de las Galletas»).
Indudablemente, hacen que la web sea cómoda de usar, pero representan un riesgo para la seguridad si alguien se apodera de ellos, por ejemplo, al hacer que un usuario descargue una pieza de malware y luego la suba a los servidores de un pirata informático. Según el Departamento de Justicia, los datos vendidos en Genesis provienen de «más de 1,5 millones de computadoras comprometidas en todo el mundo».
Los desarrolladores web, sin embargo, conocen esta posibilidad y, a menudo, incorporarán protecciones adicionales. Una se llama huellas dactilares, que es una técnica que analiza una tonelada de información sobre su computadora, como qué navegador está usando, qué fuentes ha instalado, qué hardware tiene, etc. a menudo se utiliza para la publicidad pero también puede ser útil para la seguridad; si una cookie está asociada con una Mac que ejecuta Firefox, sería un poco sospechoso si de repente se usara para acceder a una cuenta usando Chrome en una PC con Windows.
Así que Génesis también robó las huellas dactilares. Además, incluso proporcionó una extensión de navegador que permitía a los piratas falsificar la huella dactilar de la víctima mientras usaban su cookie de inicio de sesión para obtener acceso a una cuenta, según un informe de 2019 de ZDNET.
YouTuber Linus Tech Tips tiene un gran desglose de cómo funciona este tipo de ataque, ya que la técnica se utilizó recientemente para apoderarse del canal. (Aunque, para ser claros, parece que el pirata informático obtuvo sus credenciales apuntándolos directamente, no a través de un mercado como Génesis).
Así que recibió un correo electrónico de Have I Been Pwned diciendo que sus datos se encontraron en el conjunto de datos de Génesis. Según el FBI y la policía holandesa, su primer paso debe ser cerrar sesión en todas sus cuentas en todos los navegadores web de su computadora antes de borrar sus cookies y cachés. (Aquí se explica cómo hacerlo en Cromo, Borde, Firefoxy Safari.) Si tiene la opción, asegúrese de eliminar los datos de todos los tiempos, no solo de la semana pasada, solo para estar seguro. Esto asegurará que esté desconectado de todo y debería invalidar cualquier token de sesión que haya tenido.
Después de este paso, no has terminado. Si sus datos fueron robados por malware, es muy posible que aún se estén ejecutando en su dispositivo, listos para robar las nuevas cookies de inicio de sesión y cargarlas en otro mercado. Es por eso que necesita ejecutar un análisis de virus o reiniciar completamente su computadora antes de volver a iniciar sesión. Personalmente, uso Malwarebytes siempre que necesito buscar virus, pero aquí hay algunas guías rápidas sobre cómo deshacerme del malware en ventanas y en Mac. (Sí, las Mac también tienen virus).
Después de eso, debería estar bien para volver a iniciar sesión en sus cuentas. Vale la pena echarle un vistazo El hilo Mastodon del experto en seguridad Brian Krebs para obtener información sobre cómo se infectan exactamente las computadoras porque no siempre es a través de métodos obvios y fáciles de detectar, como archivos llamados «ClickMe_NOTAVirus.exe». Conocer algunas de las señales de advertencia a las que hay que prestar atención y los vectores de infección comunes, como los sitios de intercambio de archivos, puede ayudar a evitar que se vuelva a infectar con malware que roba inicios de sesión.