Investigador publica 10 millones de contraseñas y pide no ir preso

Los investigadores de seguridad informática pueden meterse en apuros más rápido de lo que imaginan, aún si sus intenciones son nobles. El consultor Mark Burnett decidió liberar al público diez millones de contraseñas acompañadas por nombres de usuario, lo que podría ser interpretado como un delito, pero en su sitio oficial indica varias razones por las cuales el FBI no debería detenerlo, incluyendo el hecho de que la información ya estaba disponible en la Web.

Al momento de comprobar la seguridad de un sistema, un protocolo, un servicio, o cualquier otra cosa destinada a proteger al usuario final, la colaboración entre los investigadores es fundamental. Reportar un bug ya no parece ser suficiente en estos días, y algunas compañías demandan más de una confirmación antes de mover un dedo. En otros casos, la presencia de vulnerabilidades es una consecuencia directa de la falta de presupuesto y personal, como ha sucedido con Heartbleed (y por extensión OpenSSL). Pero la culpa no es exclusiva de los desarrolladores. A decir verdad, nunca lo ha sido. Una mala implementación en un servidor puede dejar expuestos los datos de millones de usuarios, incluyendo sus credenciales y contraseñas. Así es como se crean las bases de datos con las que trabajan los investigadores, quienes usualmente comparten ese material. El consultor Mark Burnett decidió colaborar con un paquete de datos que contiene diez millones de contraseñas con sus nombres de usuario, pero no entregó el archivo a sus colegas, sino que lo colgó en BitTorrent para que todos puedan descargarlo.

El archivo tiene formato de texto, y esta compuesto por dos simples columnas. Aquellos que deseen descubrir ciertos patrones de comportamiento en la generación de contraseñas ya deben estar frotándose las manos. Sin embargo, Burnett debió redactar un artículo entero para justificar la liberación debido a la condena de Barrett Brown, un periodista aparentemente vinculado con Anonymous, acusado de mantener enlaces a material hackeado. Brown deberá permanecer preso 63 meses (ya lleva más de la mitad) y pagar casi 900 mil dólares en daños.

De más está decirlo, Burnett no quiere terminar de la misma forma que Brown. Para evitarlo, explicó en su sitio oficial que la base de datos carece de información sobre dominios, compañías, instituciones financieras, tarjetas de crédito, autoridades gubernamentales y militares. Como si eso fuera poco, la base combina contraseñas expuestas durante los últimos diez años, por lo tanto, no hay razones sólidas para acusarlo de fraude o de promover actividades informáticas ilegales. Si somos realistas, lo más probable es que la gran mayoría de esas contraseñas ya no tenga validez. El punto es que la ley se ha vuelto muy sensible ante estos temas, y si un periodista terminó tras las rejas, un investigador de seguridad bien podría seguir la misma ruta.