Have I been Pwned es posiblemente uno de los sitios más útiles y al mismo tiempo más infrautilizados de Internet en relación a su utilidad. En parte porque el desconocimiento general sobre cómo funciona hace que algunas personas recelen de él. Desde su creación allá por 2013, millones y millones internautas han podido utilizar su repositorio para comprobar si alguna de sus cuentas de usuario o contraseñas ha sido vulnerada debido a ataques o filtraciones, y ahora, tras más de siete años de actividad, da un nuevo paso que le permitirá ser más útil que nunca.
Varios meses después de su anuncio original, Troy Hunt, responsable de la página, ha anunciado que el componente Pwned Passwords es un proyecto de código abierto. Inicialmente Hunt llegó incluso a plantearse la venta del sitio dadas las dificultades a la hora de mantenerlo, pero tras meditarlo cuidadosamente ha querido aliarse con la fundación .NET para darle continuidad y mejorar sus funciones. El código de Pwned Passwords se puede encontrar desde ya mismo en GitHub, licenciado como BSD de tres cláusulas.
Abrir el código del identificador de contraseñas robadas aportará una mayor transparencia al proyecto y servirá para poder mejorar su funcionamiento. Que por otro lado, no podría seguir adelante sin la aportación de nuevas contraseñas vulneradas. La idea es que el sitio ya no dependa tanto de la aparición de grandes listados de claves filtradas o robadas sin fecha de obtención clara, sino facilitar la aportación de material fresco y actualizado. Aquí es donde el FBI entra en escena.
Según ha anunciado Hunt, además de abrir el código del identificador de contraseñas, Have I been Pwned se beneficiará de una alianza por la cual el FBI aportará a la base de datos contraseñas vulneradas que hayan sido descubiertas durante sus intervenciones contra la ciberdelincuencia. Dada la escala de algunas de sus operaciones (como la destrucción de botnets con millones de víctimas), esto implica que Have I been Pwned podría recibir miles y miles de claves robadas procedentes de todo el mundo.
Como cabe imaginar, en aras de la seguridad el FBI no proporcionará contraseñas per se, sino sus hashes criptográficos en SHA-I y NTLM. Esto quiere decir que Have I been Pwned no recibirá claves identificables como tal, sino cadenas alfanuméricas generadas a partir de las claves para identificarlas. Estos hashes no pueden ser revertidos para descubrir las contraseñas de donde originaron, por lo que es un método totalmente válido y seguro para compartir información.
Actualmente Have I been Pwned posee una base de datos con los hashes de 613.584.246 contraseñas expuestas. Los internautas interesados en saber si su clave puede estar en peligro pueden introducirla aquí sin dar información identificable de ninguna clase para ver si ha aparecido en algún listado.
