Precisamente para evitarlo nace Firefox Monitor, un servicio gratuito de Mozilla que te avisará si tus contraseñas se han visto comprometidas.
Para hacerlo en Mozilla han colaborado con el famoso servicio 'Have I Been Pwned' (HIBP), una base de datos desarrollada por el experto en ciberseguridad Troy Hunt que permite conocer si nuestras direcciones de correo electrónico se han visto expuestas en alguno de esos robos de datos masivos.
Será más fácil que te enteres de si te han robado tus credenciales
Los robos de contraseñas son uno de los males cotidianos con los que tenemos que convivir, y los sufrimos constantemente. Incluso empresas tecnológicas de primer nivel se ven afectados por este problema, y aquí los ejemplos son frecuentes y van desde Spotify a Reddit pasando, cómo no, por ese dantesco robo que sufrió Yahoo!.
Ahora Mozilla quiere tratar de minimizar los efectos colaterales de estos desastres avisando a los usuarios activamente en lugar de obligarles a ellos a rebuscar información para comprobar si sus cuentas han sido robadas por los cibercriminales que efectúan estos ataques.
Esa ha sido la motivación de la aparición de Firefox Monitor, un sitio web que aprovecha la potencia de HIBP pero no comparte información sobre ella en el sentido de que cuando introducimos una dirección de correo para saber si se ha visto comprometida, esta no está completamente visible a la base de datos.
Así, la información con la que se comprueban las correspondencias está "hasheada" por partes y esa dirección completa nunca llega a ser compartida por ambos servicios (ni por terceras partes).
La medida es desde luego bienvenida y se suma a otras iniciativas en este ámbito: Chrome estrenó nuevas funciones para su gestor de contraseñas recientemente, y gestores de contraseñas como LastPass o 1Password ya colaboran con HIBP en este sentido.
Verificación en dos pasos y tokens como alternativa
Esa constante amenaza a nuestro uso del binomio usuario/contraseña deja claro que estamos más expuestos que nunca ante un método que es conveniente pero no especialmente seguro, sobre todo cuando a menudo reutilizamos contraseñas o no elegimos contraseñas demasiado fuertes. Aquí es donde los gestores de contraseñas ayudan de forma notable.
Ante esas prácticas lo ideal es tratar de aprovechar alguno de los sistemas que últimamente añaden una capa de seguridad notable. Se trata de los sistemas de verificación en dos pasos, que hacen que por ejemplo al acceder a Gmail con nuestro usuario y contraseña se nos envíe un código SMS al teléfono que también tendremos que introducir en el navegador antes del acceso completo.
Esos sistemas son una buena ayuda en este ámbito, pero los SMS no son la mejor opción por las vulnerabilidades de la tecnología de mensajes, y desde hace tiempo las aplicaciones móviles de autenticación (Authy, Google Authenticator, Microsoft Authenticator entre otras) permiten hacer lo mismo pero de una forma aún más segura.
A esas opciones se les suma una más: la verificación en dos pasos "física" que implica el uso de dispositivos como las llaves Yubikey que permiten verificar que somos quien decimos ser de forma unívoca. Google lanzó al mercado su propia propuesta hace poco, y los desarrolladores de Yubikey han respondido con Yubikey 5, una versión aún más potente que la anterior con soporte NFC y FIDO2.
Una vez las conectas al portátil, navegadores como Firefox o Chrome, que la soportan, ya no te pedirán contraseñas porque el software que las acompaña permite autenticarnos con un grado de seguridad especialmente destacable. Si queréis estar más tranquilos en estos escenarios, esta es una excelente opción.