Crece la lista de e-mails con las contraseñas al descubierto que afecta también a Yahoo y Gmail

El ataque de 'phishing' masivo destapado este lunes podría tener un alcance mayor de lo desvelado en un primer momento. La BBC ha podido acceder a una nueva lista e informa de que el número de cuentas con las contraseñas al descubierto podría ser de más de 20.000. No solo serían de Hotmail, sino también de otros servidores de correo como Yahoo!, Gmail y AOL.

La lista con los e-mails y las contraseñas a la que ha accedido la BBC se ha publicado en pastebin.com,  una web usada por desarrolladores para compartir código y el mismo site donde se pusieron en circulación más de 10.000 contraseñas de Hotmail.

Microsoft ha reconocido hoy en un comunicado al que ha tenido acceso RTVE.es que "las contraseñas de algunos clientes de Windows Live fueron adquiridas ilegalmente por un sistema de 'phishing' y publicadas en un sitio Web".

Microsoft bloquea las cuentas

Añaden que "al enterarse de lo sucedido se pidió que se despublicaran las contraseñas y se puso en marcha una investigación". Una de las medidas tomadas por Microsoft ha sido "bloquear el acceso a todas las cuentas" de correo que fueron expuestas online y poner en marcha las medidas necesarias para "ayudar a los usuarios a recuperar estas cuentas".

Microsoft explica que Hotmail "no almacena las contraseñas" en sus servidores,  y afirman que los passwords se consiguieron a través de un ataque de 'phishing' (estafa cibernética con la que se engaña a los usuarios para obtener información sensible de cuentas bancarias o de correo).

Se ha puesto al servicio de los afectados un formulario para reclamar el acceso a las cuentas bloqueadas y Microsoft ha difundido una serie de consejos para aquellos que piensen que han podido ser víctimas de un ataque de 'phishing': contactar con el banco por si tu cuenta se ve comprometida, cambiar las contraseñas y reportar el incidente a las autoridades correspondientes, en el caso de España, la unidad de Delitos Telemáticos.

¿Cómo se puede reconocer un fraude por correo electrónico?

Tras el ataque masivo, Microsoft recuerda que hay varias pistas para evitar que seamos víctimas de una estafa online de este tipo. Es fácil reconocer cuándo se trata de un caso de 'phishing', que pretende hacerse con nuestra información personal con fines ilícitos.

Estos tipos de correo solicitarán nuestra información personal como fecha de nacimiento, número de la seguridad social, de la cuenta bancaria o directamente la contraseña de correo electrónico. 

El problema suele ser que utilizan la imagen de empresas o webs en los que el usuario tiene confianza por lo que hay que tener especial cuidado con aquellos mensajes que dicen provenir de nuestro banco. 

Los límites del delito

 Jesús Cozar, miembro de la unidad de Delitos Telemáticos de la Guardia Civil, recomienda que quién tenga sospechas de que su cuenta ha podido ser objeto de un ataque cambie inmediatamente su contraseña y la pregunta secreta utilizada para recuperarla en caso de olvido. 

"Hay que concienciar a los usuarios de que las contraseñas no pueden ser fáciles,  hay que mezclar números, letras, mayúsculas, minúsculas...", explica Cózar a RTVE.es.

Aunque a simple vista la publicación de los passwords podría parecer claramente un delito punible, Cózar explica que los límites legales no son tan claros. "El delito en si no es publicar la contraseña, sino cómo se ha conseguido esa contraseña".

"Es como si alguien cuelga en la escalera la llave de tu puerta con un cartel con tu nombre, ¿eso es delito?", se pregunta el experto. "Habría que ver cómo se ha conseguido esa llave" y en cualquier caso tener en cuenta lo que se pueda hacer a posteriori con esa información.