Combolist: Un millón de correos electrónicos de colombianos junto a sus contraseñas fueron expuestos en Internet
En un foro de Internet fue publicado un documento que contiene el nombre de usuario y contraseña de alrededor 1 millón de cuentas de correo electrónico relacionadas o creadas en Colombia. En el archivo que ahora es público se observan cuentas de entidades públicas y privadas así como miles de correos personales.
Dentro de la información revelada se encuentra correos de instituciones educativas como el Sena, Universidad Tecnológica de Pereira, Fundación San Mateo, Uniminuto, Unisalle, Colegio Rochester, solo por nombrar algunas que MuchoHacker.lol pudo verificar.
Igualmente, pudimos verificar que usuarios y contraseñas de correos que pertenecen a la Secretaría de Educación de Bogotá, el Instituto Humboldt, Kia Colombia, Pacific Rubiales, Panamerica, Pat Primo, Dian, Sofasa y muchas otras empresas colombianas están en la lista.
Dentro de entidades oficiales se pudieron observar correos de la Procuraduría, Personería.gov.co, Registraduría, Salud Capital, Supersociedades, Acción Social, Alcaldía de Bogotá, Cali.gov.co. y otro tanto de entidades oficiales.

Un Combo List de 1 Millón
Las lista de correos y sus contraseñas expuestas en un repositorio público se conoce como un ComboList.
Alguien se toma el trabajo de recopilar datos de diferentes robos de información y alimenta un solo documento que se vende en el mercado negro de las bases de datos.
Siguiendo algunas pistas MuchoHacker.lol pudo llegar a un foro de Internet donde un usuario anónimo publicó la información el pasado martes a las 12:35 de la noche.

Una vez se publicitó en el foro, quien quiera tener la base de datos, debe sacar un perfil y esperar aprobación por parte de administrador del sitio web. Una vez se obtiene aparece un link del repositorio público Mega desde donde se baja el archivo.

El archivo puede contener incluso más de 1 millón de registros.
¿Por qué alguien hace esto?
Desafortunadamente es parte de la cultura digital. La obtención de este tipo de documentos es lamentablemente algo normal dentro del comercio de bases de datos y de alguna manera es consecuencia de cómo se ha venido creando y desarrollando Internet.
Un combolist tiene múltiples usos: Desde alimentar bibliotecas con millones de contraseñas para ayudar a adivinarlas con técnicas de fuerza bruta, hasta técnicas de robo de correos tan básicas como el reseteo.
El atacante recopilas diferentes ataques a plataformas que han ocurrido en cualquier momento en el tiempo y condensa toda esa información en un solo documento.
A veces el Combolist se vende por buenas cantidades de dinero cuando se ve posibilidad de monetizar, o a veces, como este caso, se ofrece gratis.
¿Debo preocuparme?
Sí y no. Realmente esta es una práctica casi que normal hoy en día. Existe un riesgo de que su correo esté en esa lista. Sin embargo, es difícil establecer si esas contraseñas son actuales o son las de su primer correo de Latinchat en el año 1998.
En el documento se observan correos que han tenido varias variaciones de una contraseña. De alguna manera alguien en algún lugar del planeta alguien puede modificar una base de datos y ordenarla para que se pueda comprender la evolución de la contraseña de un usuario.
El problema de este tipo de documentos y manejo de grandes volúmenes de datos es que se abre la puerta a tener una gran biblioteca de contraseñas que usan los colombianos.
Este tipo de alertas deberían movilizar a los usuarios a no usar la misma contraseña para todos los servicios.
Igualmente, a tener buenas prácticas al momento de construir el password. Frases fáciles de adivinar o ideas como casa123 son pésimas ideas.
Igualmente, es muy importante habilitar el doble factor de autentificación.
La combinación de varias buenas prácticas puede ser el único antídoto para esta situación.
Combolist: Un millón de correos electrónicos de colombianos junto a sus contraseñas fueron expuestos en Internet