Mark Burnett es un investigador de seguridad informƔtica con un curioso "pasatiempo": reunir contraseƱas filtradas online para analizar lo hƔbitos de los usuarios. Ahora, en un arriesgado movimiento, Burnett ha publicado 10 millones de contraseƱas y nombres de usuarios - y explicado al FBI por quƩ no debe arrestarle.

Burnett es conocido, entre otras cosas, por elaborar cada aƱo informes en los que detalla cuĆ”les son las peores contraseƱas escogidas por los usuarios. SĆ­, esas de "123456", "password" y similares (puedes echar un vistazo aquĆ­ a su Ćŗltimo informe). La forma en la que Burnett consigue estas contraseƱas es buceando en foros de filtraciones y hackeos, o simplemente en miles de pĆ”ginas en Internet, recolectĆ”ndolos como si fueran tesoros. AsĆ­ ha reunido hasta 10 millones de contraseƱas y nombres de usuarios. Y los acaba de publicar aquĆ­. Un arriesgado movimiento que le puede costar ser perseguido por el FBI.

Advertisement

ĀæPor quĆ© ha decidido Burnett publicar semejante informaciĆ³n? En un artĆ­culo explica que su intenciĆ³n es poner esa informaciĆ³n a disposiciĆ³n de otros investigadores de seguridad para entender mejor la relaciĆ³n entre las contraseƱas y los nombres de usuarios. Cosas como conocer cuĆ”ntas veces solemos incluir todo o parte de nuestro nombre de usuario en la contraseƱa puede ayudar a entender mejor la "psicologĆ­a" de los usuarios a la hora de crear un password. Esa informaciĆ³n podrĆ­a servir, por ejemplo, para desarrollar software de seguridad mĆ”s efectivo, pero tambiĆ©n podrĆ­a levantar sospechas de la policĆ­a. Ya hay precedentes. El caso del activista Barrett Brown, ex de Anonymous, fue especialmente sonado: el FBI le persiguiĆ³ por publicar enlaces a informaciĆ³n filtrada. Le cayĆ³ una sentencia de 5 aƱos de cĆ”rcel.

Burnett ha tratado de salvarse las espaldas a base de transparencia, incluso explicando por quĆ© el FBI no debe arrestarle. Lo mĆ”s importante, dice, es que se trata de contraseƱas y nombres de usuarios antiguos, sin validez ya en ningĆŗn servicio online. No se puede hacer nada con ellos mĆ”s que lo que Ć©l pretende, investigar y ayudar a otros investigadores. Explica tambiĆ©n que los datos llevaban mucho tiempo accesibles a cualquiera, simplemente buscando online. AdemĆ”s, muchas webs como haveibeenpwned o pwnedlist ya se dedicaban a recopilarlos, sin haber recibido ninguna amenaza legal.

Advertisement

Veremos quƩ ocurre ahora. Probablemente el FBI decida no contra Burnett, pero nunca se sabe. Si tienes curiosidad por echarle un vistazo a esos 10 millones de contraseƱas y nombres de usuarios, te puedes descargar el archivo completo aquƭ (al final del artƭculo). [Mark Burnett vƭa Ars Technica]

Imagen de portada: Adam Clark Estes

***

Psst! tambiƩn puedes seguirnos en Twitter, Facebook o Google+ :)