gmailCasi cinco millones de cuentas de Gmail y Google Plus, Yandex y Mail.ru (estos últimos, dos de los portales más visitados de Rusia) aparecieron la noche del pasado martes en el foro ruso btcsec.com, temporalmente no disponible. La página de bitcoin, especializada en seguridad de Internet, lanzó una captura de pantalla de la base de datos filtrada. Afirmaban que más del 60% de la combinación de usuarios y contraseñas eran válidos, a pesar de que la delegación de Google en Rusia afirmó a los medios de ese país que la mayoría de la información era «vieja y potencialmente desactualizada». Es decir, cuentas a las que sus dueños ya no acceden o contraseñas antiguas.

Según el gigante de Internet, esta publicación puede ser consecuencia de un largo periodo de diversas prácticas de hacking, y tanto la empresa estadounidense como la rusa Yandex han afirmado que su seguridad no ha sido comprometida, sino que han sido ataques informáticos a individuos. Los datos que aparecieron en el foro ruso contenían información de usuarios que hablaban inglés, ruso y español. Miles de internautas llevan horas consultando la herramienta que contiene el listado con las cuentas comprometidas.



Esta fuga, 4,93 millones de datos, llega después de otras dos que afectaron sólo a los portales rusos. El pasado martes, 4,66 millones de cuentas de Mail.ru fueron lanzadas a la Red; lo mismo ocurrió con 1,26 millones de nombres de usuarios y contraseñas de Yandex, publicadas el pasado lunes en un archivo de texto.

Pablo Fernández, de Abanlex (abogados especializados en tecnología), comenta que las filtraciones no se producen «porque sí». En caso de que los ataques hayan sido a individuos, «son ellos quienes tienen la obligación de mantener contraseñas seguras, algo que implica un mínimo respeto por la privacidad. Si no cambias la contraseña, estás permitiendo en la práctica que alguien pueda entrar. Hay un deber de proteger la propia privacidad. Lo que no quiere decir que no sea un delito», explica Fernández.



Los procedimientos en España ante este tipo de casos, cuando se ha averiguado quién o quiénes son los ciberdelincuentes, son tres. El primero es el penal y está penado con cárcel, «por afectar de forma grave a la privacidad de las personas y por ser un ataque informático. Incluso podría ser de revelación de secretos», apunta el abogado.

El segundo es por la vía civil, «porque los datos personales tienen que ver con el ciudadano». En este caso, según Fernández, existe la posibilidad de que las personas a las que haya afectado la filtración pidan indemnización por el daño que les haya causado la publicación de las contraseñas. La tercera es la administrativa, «por el tema de la protección de datos», afirma el abogado. «En este caso, la Agencia Española de Protección de Datos tiene que iniciar un procedimiento de investigación».

Fernández recomienda revisar de forma inmediata si la cuenta contiene «virus, troyanos o cualquier otro síntoma de que alguien ha estado entrando en ella, para que el segundo paso que hay que dar tenga efecto». Este es el cambio inmediato de la contraseña, «por una mucho más fuerte, por ejemplo a través de la página Password.es. Y denunciar», aconseja el abogado: «Acudir a la Policía o a la Guardia Civil, o bien a la Agencia Española de Protección de Datos«.