NUEVA YORK, 25 de enero de 2026, 08:27 EST
- Un investigador señaló una base de datos sin seguridad que contenía alrededor de 149 millones de pares de usuario y contraseña, lo que provocó su eliminación de la web
- El conjunto contenía decenas de millones de inicios de sesión de Gmail y Facebook, junto con cuentas bancarias, de streaming y de criptomonedas
- Los investigadores vincularon el archivo a malware “infostealer” en lugar de a una brecha en una sola plataforma importante
Una base de datos sin seguridad que contenía aproximadamente 149 millones de nombres de usuario y contraseñas —incluidos 48 millones vinculados a Gmail y 17 millones relacionados con Facebook— fue retirada de línea después de que un investigador de seguridad alertara al proveedor de alojamiento, según los informes. Allan Liska, analista de inteligencia de amenazas en Recorded Future, señaló que “los infostealers crean una barrera de entrada muy baja para los nuevos criminales”, señalando herramientas disponibles para alquilar por solo unos cientos de dólares al mes. (WIRED)
Esta exposición es grave ya que listas de contraseñas como estas permiten a los hackers tomar el control de cuentas de correo electrónico y redes sociales—puertas de entrada para restablecer credenciales en otras plataformas. También alimentan ataques de phishing, donde los estafadores se hacen pasar por bancos, colegas o equipos de soporte para robar información adicional.
Los investigadores rastrearon el archivo hasta malware “infostealer”, un tipo de software malicioso diseñado para robar credenciales sigilosamente de dispositivos infectados, a menudo registrando las pulsaciones de teclas. Esto sugiere un robo generalizado y caótico que ocurre directamente en los dispositivos, en lugar de una brecha dirigida a los servidores de una sola empresa.
Jeremiah Fowler informó para ExpressVPN que la base de datos carecía tanto de protección por contraseña como de cifrado, y contenía 149,404,754 credenciales de inicio de sesión únicas—aproximadamente 96 gigabytes de datos sin procesar. Señaló que las muestras incluían correos electrónicos, nombres de usuario, contraseñas y las URL exactas donde ocurrieron los inicios de sesión, un factor que podría acelerar los ataques automatizados. (ExpressVPN)
La caché filtrada abarcaba una amplia gama de servicios de consumo como Instagram, Netflix, TikTok, Yahoo, Outlook e iCloud, así como cuentas financieras y plataformas de criptomonedas, informó TechRepublic. Fowler advirtió que las credenciales vinculadas a dominios de correo electrónico gubernamentales podrían permitir “spear-phishing dirigido, suplantación de identidad o servir como punto de entrada a redes gubernamentales”. (TechRepublic)
People.com, citando el informe de Fowler, admitió que no pudo confirmar de forma independiente los hallazgos y señaló que los criminales con frecuencia dejan grandes archivos de datos sin protección en su prisa por la velocidad y la escala. Fowler advirtió que la combinación de credenciales y enlaces de inicio de sesión “aumenta drásticamente la probabilidad de fraude, posible robo de identidad, delitos financieros y campañas de phishing”. (People)
Casi no se sabe nada sobre quién recopiló la base de datos o cuánto tiempo estuvo expuesta, informó TechRadar. Tomó casi un mes lograr que la retiraran después de que el proveedor de alojamiento inicialmente culpó a una subsidiaria que actuó por su cuenta. El medio señaló que los datos parecían estar indexados para facilitar la búsqueda, lo que sugiere que probablemente se construyó para su reutilización en lugar de haber sido dejados por error. (TechRadar)
Pero esas cifras principales pueden ser engañosas. Fowler admitió que no identificó quién administra el servidor, y aún se desconoce cuántas credenciales están vigentes, cuántas provienen de cuentas activas o cuántas ya estaban disponibles.
El conjunto de datos por sí solo no prueba que Google, Meta u otras empresas mencionadas hayan sido hackeadas directamente. Los datos impulsados por infostealers generalmente provienen de dispositivos comprometidos antes de ser agrupados, revendidos, republicados y mezclados con filtraciones anteriores.
Fowler aconsejó a los usuarios revisar la actividad de sus cuentas, fortalecer la configuración de seguridad y evitar reutilizar contraseñas en varios sitios, según su informe y la cobertura relacionada. Los expertos en seguridad recomiendan frecuentemente la autenticación en dos pasos—una capa de respaldo que implica un código o un escaneo biométrico—cuando las contraseñas se ven comprometidas.
Para las empresas y organismos públicos, la amenaza va más allá del fraude al consumidor. Los inicios de sesión de correo electrónico de empleados y las credenciales “.edu” o “.gov” pueden ayudar a los atacantes a crear intentos de phishing más creíbles o incluso acceder a sistemas internos cuando se reutilizan contraseñas.
Eliminar una base de datos no borra las consecuencias. Las copias pueden circular rápidamente, y los mercados de inicios de sesión robados siguen activos — una fuente constante para estafas que dependen más de credenciales frescas y paciencia que de la complejidad.
