¿No cambiaste tu contraseña desde 2010? Malas noticias — y existe una lista de 150 millones de registros.
Encuentran en acceso público una base de datos con 150 millones de credenciales de usuarios de servicios populares
Casi 150 millones de inicios de sesión y contraseñas quedaron disponibles públicamente en internet, y descubrió esta fuga el investigador independiente de ciberseguridad Jeremy Fowler. La enorme base de datos no estaba protegida ni por contraseña ni por cifrado y, de hecho, estaba en acceso público, permitiendo a cualquier persona acceder a las credenciales de millones de personas en todo el mundo.
El volumen total de datos filtrados fue de alrededor de 96 GB. Contenía 149 404 754 registros únicos con inicios de sesión y contraseñas, incluyendo direcciones de correo electrónico, nombres de usuario, las propias contraseñas y enlaces a páginas de acceso. Según el investigador, no se trataba simplemente de un conjunto de datos aleatorios, sino de un almacenamiento estructurado de información recopilada mediante stealers de información.
Entre las cuentas filtradas estaban usuarios de los servicios más populares. La base contenía datos de Facebook, Instagram, TikTok y X, cuentas de plataformas de streaming como Netflix, DisneyPlus y HBO Max, cuentas de Roblox, OnlyFans, así como accesos a servicios bancarios, monederos de criptomonedas, plataformas de intercambio y sistemas de pago. En la muestra que examinó Fowler también se encontraron credenciales relacionadas con dominios .gov de varios países, lo que potencialmente crea riesgos para las estructuras estatales y puede utilizarse para ataques de phishing dirigidos e ingeniería social.
La magnitud de la filtración es especialmente preocupante. Según las estimaciones del investigador, solo había alrededor de 48 millones de cuentas de Gmail en la base, unos 4 millones de Yahoo, aproximadamente 1,5 millones de Outlook y cerca de 900 000 de iCloud. También había millones de cuentas de redes sociales y servicios en línea, incluyendo 17 millones de registros relacionados con Facebook y más de 3 millones de cuentas de Netflix.
La base de datos no contenía información sobre el propietario. Fowler informó del hallazgo al proveedor de hosting mediante un formulario de reclamación, pero el proceso de respuesta tardó casi un mes. Solo después de varias solicitudes se cerró el acceso al servidor y los datos dejaron de estar disponibles. Durante ese tiempo el volumen de la base incluso aumentó, lo que indica la recolección continua de credenciales robadas. No se sabe quién administraba este almacenamiento, ni cuánto tiempo estuvo en acceso público antes del descubrimiento.
Por la estructura de los datos el investigador concluyó que la base se usaba para almacenar información recopilada por software malicioso. Además de inicios de sesión y contraseñas, había datos técnicos que indicaban dispositivos infectados y fuentes del robo de información. Esto permitía sistematizar los datos robados y utilizarlos fácilmente para ataques posteriores.
Los expertos advierten que esos volúmenes de información son especialmente peligrosos, ya que permiten automatizar ataques de relleno de credenciales. Los delincuentes pueden comprobar masivamente los inicios de sesión y contraseñas robados en servicios populares, obteniendo acceso al correo, a cuentas bancarias, a redes sociales y a sistemas corporativos. Esto aumenta el riesgo de fraude, usurpación de identidad, delitos financieros y ataques de phishing, que resultan muy convincentes porque se basan en datos reales de los usuarios.
La historia de esta filtración muestra una vez más que el robo de credenciales se ha convertido en un negocio a gran escala. Incluso los propios ciberdelincuentes a menudo almacenan la información robada en nubes mal configuradas, que se pueden encontrar con un escaneo normal de internet. Tras su descubrimiento, esas bases suelen copiarse y distribuirse, haciendo que las consecuencias sean prácticamente irreversibles.
Los especialistas recuerdan que la infección de dispositivos por software malicioso puede ocurrir mediante actualizaciones falsas, extensiones maliciosas del navegador, correos falsos e incluso publicidad. En esos casos, un simple cambio de contraseña no ayuda, porque la nueva contraseña también puede ser interceptada. Para protegerse se recomienda usar software antivirus, actualizar regularmente los sistemas operativos, no instalar aplicaciones de fuentes dudosas, activar la autenticación de dos factores y no usar la misma contraseña en distintos servicios.