Have I Been Pwned? (o have i been pwned? como se estiliza en su página principal) es un sitio web que permite comprobar a los usuarios si sus credenciales, datos personales, teléfono, correos electrónicos o contraseñas se han visto comprometidos en alguna violación de datos.
El nombre del sitio deriva de un juego de palabras en inglés con la palabra «owned» (usada de manera informal con el significado de «ser dominado», «ser tomado como tonto» o «ser avergonzado»), donde la letra «o» es cambiada por la «p». Presumiblemente, se considera un error de tipografía asociado al juego Warcraft, ya que la letra «o» y «p» están cercanas en el teclado qwerty, o como referencia al peón de ajedrez («pawn», en inglés), que eventualmente adquirió el mismo nivel de uso que la palabra original en círculos de Internet.
HIBP es un sitio creado por Troy Hunt en 2013, motivado especialmente por una brecha masiva de datos de Adobe Systems en ese mismo año. Troy es un trabajado de Microsoft y blogger, apasionado por la seguridad en la red. Troy tiene un artículo en su blog personal detallando información sobre cómo se almacenan los datos de la web y su funcionamiento (en inglés). Los usuarios también pueden denunciar casos de violaciones de datos contactando con Troy directamente a través de un formulario de contacto en su blog.
El objetivo del sitio web es que cualquier usuario pueda comprobar si su información personal se ha visto comprometida y ver qué tipo de información ha podido ser filtrada. Es también posible suscribirse a un servicio que notifica sobre las (posibles) futuras violaciones en las que el usuario se viese comprometido.
La web también cuenta con monitorización de los archivos alojados en Pastebin a través de una serie de cuentas de Twitter, como un paso inicial previo a la confirmación de la violación de de datos; es necesario tener en cuenta que no todos los correos electrónicos detectados por los bots se encontrarán en una brecha real.
El sitio también incluye información que haya sido generada por malware desde los propios usuarios.
En la web tenemos, además, un top 10 de las brechas más grandes. Actualmente, la principal corresponde a «Collection #1», que se cree que es un conglomerado de otras brechas, publicadas en un foro hacker y que se encontró alojada en el servidor de Mega.
En caso de que nuestro correo no figure como comprometido en la base de datos del sitio se nos muestra esto:
En caso contrario, vemos la siguiente pantalla, donde se nos dice que hemos sido «pwned», dónde, y cuál es la brecha más probable y qué información puede haber sido comprometida:
De todos modos, es necesario tener en cuenta que el sitio solo recoge alguna de las instancias en las que nuestros datos personales pueden haber sido comprometidos, pero muchas veces estas brechas no son conocidas, o hechas públicas por las compañías, hasta mucho después.
En mi caso, he querido comprobar si en el sitio figuraba la brecha de GoTo (anteriormente LogMeIn Hamachi), porque recibí un mail del CEO informándome de que habían sufrido una brecha en noviembre de 2022, y qué acciones iban a tomar. Esta brecha coincide con el momento en el que empecé a recibir correos no deseados de servicios muy variados. Esta brecha no figura en HIBP.
Como consideración final, es importante tener en cuenta que la web de HIBP no recopila la información que se ha visto comprometida, solo las direcciones de email o teléfono desde la que se realizan las comprobaciones, y es un proyecto personal de Troy Hunt, no de ninguna empresa particular. Es muy importante que los propios usuarios tomen medidas preventivas para casos como estos, de manera que la información personal se encuentre lo más protegida posible (usando múltiples contraseñas, correos diferentes, evitando sitios peligrosos, etc.).
