Troy Hunt, reconocido por advertir sobre los peligros del robo de credenciales y creador de la plataforma Have I Been Pwned, ha sido víctima de un ataque de phishing, uno de los métodos más comunes para el robo de contraseñas.
Un correo bien diseñado
Hunt relató en su blog cómo recibió un correo falso que simulaba ser de Mailchimp, la plataforma que utiliza para enviar su newsletter. El mensaje advertía sobre una supuesta queja de spam y le indicaba que sus privilegios de envío podrían verse restringidos. Para solucionar el problema, se le pedía hacer clic en un enlace.
It finally happened – I got phished. Impact is limited to the Mailchimp mailing list for my blog, brief blog post with details here and more to come later: https://t.co/AMIfmvAwYJ
— Troy Hunt (@troyhunt) March 25, 2025
Aunque ha detectado y evitado múltiples intentos de phishing en el pasado, en esta ocasión hubo un factor clave: el momento en que recibió el mensaje. Debido al jet lag y al cansancio, no analizó el correo con la atención necesaria y terminó cayendo en la trampa.
Señales de advertencia
Uno de los indicios que pudo haber alertado a Hunt fue que su gestor de contraseñas no autocompletó los datos de inicio de sesión, lo que suele ocurrir cuando el dominio de la página no coincide con el sitio original. Sin embargo, algunas plataformas manejan diferentes dominios para registro y autenticación, lo que puede generar confusión incluso en usuarios experimentados.
Robo de datos
Como resultado del ataque, los ciberdelincuentes accedieron a 16,000 registros de suscriptores de su newsletter, incluyendo direcciones de correo electrónico, direcciones IP y datos de ubicación aproximada.
En un acto de transparencia, Hunt agregó su propia filtración a la base de datos de Have I Been Pwned y compartió su experiencia para que otros puedan aprender de su error.
¿Cómo evitar caer en phishing?
El experto subraya que los correos electrónicos de phishing suelen usar un tono de urgencia para forzar una respuesta rápida. Recomienda tomarse un momento para analizar cada mensaje antes de actuar y desconfiar de cualquier correo que exija una acción inmediata.
Además, destaca que las passkeys o claves de acceso, basadas en autenticación biométrica, pueden ofrecer mayor seguridad frente a estos ataques, aunque su implementación aún no es completamente uniforme. La autenticación en dos pasos (2FA) sigue siendo una barrera efectiva contra el robo de credenciales.
Este caso demuestra que nadie está completamente a salvo del phishing, incluso los expertos en ciberseguridad. La clave está en la prevención y en adoptar medidas de protección robustas.