LONDRES, 24 de enero de 2026, 12:01 (GMT)
- El investigador Jeremiah Fowler descubrió 149,404,754 inicios de sesión y contraseñas únicos en una base de datos en línea sin seguridad, que posteriormente fue retirada.
- La colección contenía aproximadamente 48 millones de credenciales de Gmail, junto con inicios de sesión vinculados a redes sociales, servicios de streaming, cuentas de criptomonedas y algunos dominios gubernamentales.
- Los analistas advirtieron que los servicios de malware “infostealer” de bajo costo pueden automatizar la toma de cuentas utilizando este tipo de datos.
Una base de datos en línea abierta que contenía alrededor de 149 millones de nombres de usuario y contraseñas robados —con unos 48 millones vinculados a cuentas de Gmail— fue retirada después de que un investigador alertara a su proveedor, informó el experto en ciberseguridad Jeremiah Fowler. Fowler señaló que el volcado de 96 gigabytes “no estaba protegido por contraseña ni encriptado”. (ExpressVPN)
Este descubrimiento es significativo porque tales colecciones alimentan directamente el credential stuffing—ataques automatizados que prueban contraseñas robadas en varios sitios populares—y fomentan campañas de phishing más precisas, especialmente cuando los datos contienen URLs de inicio de sesión directas.
Esto ocurre en un momento en que el malware infostealer—software malicioso que roba credenciales de dispositivos infectados—ha pasado de ataques aislados a ser una fuente constante de delitos.
Fowler describió la colección como una “lista de deseos soñada para criminales” durante una entrevista con WIRED. Allan Liska, analista de inteligencia de amenazas en Recorded Future, señaló que los infostealers ofrecen una “barrera de entrada muy baja” y mencionó que alquilar infraestructura de primer nivel suele costar entre $200 y $300 al mes. (WIRED)
TechRepublic reveló que los registros expuestos incluían más que una simple lista básica de contraseñas. Contenían direcciones de correo electrónico, nombres de usuario y enlaces directos a los sitios donde esas credenciales podían ser probadas. Esta configuración facilita que los atacantes automaticen rápidamente la toma de cuentas antes de que los usuarios actualicen sus contraseñas o las plataformas desactiven las cuentas comprometidas. (TechRepublic)
Fowler señaló que los registros que examinó abarcaban desde redes sociales y plataformas de streaming hasta aplicaciones de citas, junto con cuentas financieras como inicios de sesión bancarios y de trading de criptomonedas, todo dentro de una muestra limitada.
También señaló credenciales vinculadas a dominios gubernamentales “.gov”, que podrían ser explotadas para suplantación de identidad o servir como puerta de entrada a brechas más extensas, dependiendo del nivel de acceso que tengan esas cuentas.
Dijo que la base de datos no tenía detalles de propiedad, y que tomó varios intentos durante casi un mes antes de que finalmente se cerrara el alojamiento.
Fowler señaló que el volumen de registros aumentó desde el momento en que encontró los datos hasta que fueron retirados, lo que incrementó el riesgo de que otros pudieran haber copiado la colección durante ese periodo.
La revista Security Magazine informó que el archivo contenía aproximadamente 48 millones de cuentas de Gmail, 4 millones de inicios de sesión de Yahoo y 1,5 millones de Microsoft Outlook, además de millones vinculados a redes sociales y plataformas de streaming. Shane Barney, director de seguridad de la información de Keeper Security, señaló: “Esto no es una brecha en el sentido tradicional.” (Securitymagazine)
SC Media señaló que la base de datos se diferenciaba de filtraciones anteriores de infostealers que Fowler ha examinado, ya que incluía campos adicionales como un nombre de host invertido y un hash de línea único para cada registro. “Las brechas de infostealers como esta no solo filtran cuentas aisladas,” dijo Boris Cipot, ingeniero senior de seguridad en Black Duck, a SC Media en un correo electrónico. (SC Media)
Una incógnita: las credenciales expuestas podrían incluir tanto antiguas como actuales, y muchas podrían ya no ser válidas si los usuarios cambiaron sus contraseñas o los proveedores forzaron restablecimientos. Aun así, si el malware permanece en el dispositivo, cambiar la contraseña podría ofrecer solo un alivio temporal, ya que el siguiente inicio de sesión podría ser interceptado nuevamente.
Los expertos en seguridad suelen recomendar activar la autenticación en dos pasos—un paso adicional como un código o una notificación en una app—y evitar reutilizar contraseñas. Por parte de las empresas, muchas monitorean picos repentinos de inicios de sesión automatizados y bloquean intentos sospechosos, aunque estas defensas varían mucho entre servicios.
Eliminar una copia pública de la base de datos es solo una pequeña victoria: los volcados de credenciales tienden a circular rápidamente después de salir a la luz. Para las organizaciones, la advertencia sigue siendo la misma: las contraseñas robadas continúan siendo un punto débil importante, y el flujo que las alimenta no muestra señales de detenerse.
