Una filtración de datos récord expuso 16 mil millones de contraseñas en línea, revelaron investigadores de Cybernews. Los registros, recopilados en al menos 30 bases de datos diferentes, contenían credenciales activas obtenidas a través de “ladrones” de información y estuvieron disponibles en servidores inseguros en internet.
De acuerdo con el reporte, los conjuntos de datos fueron descubiertos por los expertos Aras Nazarovas y Bob Diachenko, quienes monitorean regularmente la web en busca de brechas de seguridad. La investigación fue publicada originalmente el 18 de junio en el sitio web de Cybernews y se fue actualizando con nuevos hallazgos y aclaraciones debido al impacto público que generó.
Los investigadores aseguraron que se trata de una de las mayores filtraciones de datos de la historia y que los registros no corresponden a datos antiguos reciclados, sino que contienen información reciente recolectada por malware especializados, también conocidos como “infostealers”.
Registros en 30 bases de datos distintas
Cybernews en su informe reveló que los 16.000 millones de registros estaban distribuidos en 30 conjuntos de datos expuestos, con tamaños que iban desde decenas de millones hasta más de 3.500 millones de credenciales cada uno.
Algunos de ellos contenían cookies, tokens de sesión y metadatos, lo que amplificaba el riesgo de apropiación de cuentas y vulneración de servicios, especialmente en organizaciones que no contaban con autenticación multifactor ni políticas robustas de protección de credenciales.
Aunque hasta el momento no se pudo calcular cuántas personas o cuentas estuvieron realmente comprometidas debido a posibles superposiciones entre los conjuntos de datos, los especialistas advirtieron que la magnitud de la filtración es suficiente para abrir las puertas a prácticamente cualquier servicio digital.
Entre los ejemplos citados aparecen plataformas como Facebook, Google, Apple, GitHub, Telegram, Zoom y Twitch, así como servicios gubernamentales y redes corporativas.
¿Cómo se recolectaron los datos?
Los conjuntos de datos descubiertos incluían principalmente información obtenida mediante un malware “ladrón” de información, combinada en algunos casos con filtraciones reempaquetadas. Cada registro seguía un patrón que incluía la URL de inicio de sesión, el nombre de usuario y la contraseña.
Además, se encontraron tokens de autenticación y cookies, que pueden permitir a los atacantes ingresar a cuentas sin necesidad de contraseñas activas.
Los investigadores indicaron que la mayoría de los datos estuvieron disponibles por un corto período a través de instancias no seguras de Elasticsearch o configuraciones vulnerables de almacenamiento de objetos.
Sin embargo esta ventana fue suficiente para que el equipo de Cybernews accediera a los datos y documentara la existencia de la filtración mediante capturas de pantalla verificables.
Si en esa ventana, este sitio dedicado a la cyberseguridad pudo acceder, da lugar a que cualquier otro usuario, red, empresa o grupo malicioso pueda hacer lo mismo y usar estos datos con algún otro fin que no sea alertar sobre la vulnerabilidad.
Algunos conjuntos apuntaban a servicios específicos
Los nombres de los conjuntos de datos variaban entre etiquetas genéricas como “inicios de sesión” o “credenciales” hasta otros más específicos. Uno de los ejemplos destacados fue una base con más de 455 millones de registros, nombrada en referencia a Telegram, lo cual sugería un origen relacionado con la Federación Rusa. Otro conjunto, con más de 60 millones de registros, también hacía alusión directa a esta plataforma de mensajería.
El conjunto más grande, con más de 3.500 millones de registros, habría estado vinculado a la población de habla portuguesa, aunque no se confirmaron detalles específicos sobre su procedencia. En promedio, cada base descubierta contenía alrededor de 550 millones de credenciales.
Desinformación y confusión sobre Facebook, Google y Apple
Tras la difusión de la noticia, algunos medios afirmaron que se habían filtrado directamente las contraseñas de servicios como Facebook, Google o Apple. Bob Diachenko aclaró que no hubo una brecha centralizada en ninguna de estas empresas, pero que sí se encontraron credenciales asociadas a sus páginas de inicio de sesión. Es decir, aunque los servidores de esas compañías no fueron vulnerados directamente, sus servicios sí figuran entre los que podrían ser accedidos con las contraseñas expuestas.
“Las credenciales que hemos visto en los registros de Infostealer contenían URL de inicio de sesión en las páginas de Apple, Facebook y Google”, explicó Diachenko. Por esa razón, los investigadores reiteraron que la filtración representa una amenaza para cualquier usuario con cuentas en servicios en línea populares.
Una amenaza creciente y constante con grandes cambios en los métodos
Esta filtración no es un caso aislado. El equipo de Cybernews también informó recientemente sobre otras fugas de datos masivas. Entre ellas, se destaca la “Madre de todas las brechas” (Moab) descubierta a principios de 2024, con más de 26 mil millones de registros expuestos. Además, en 2021 se había revelado una base con 8 mil millones de contraseñas, y en 2024 otra colección, llamada RockYou2024, con casi 10 mil millones de contraseñas únicas.
También se registró recientemente una fuga en China que involucró datos financieros, información de cuentas de WeChat, Alipay y otros datos personales delicados, reflejando que este tipo de incidentes se están volviendo cada vez más frecuentes.
El investigador Aras Nazarovas señaló que este tipo de filtraciones podrían estar marcando un cambio en la forma en que los delincuentes cibernéticos almacenan y distribuyen los datos robados. En lugar de recurrir a canales más tradicionales como grupos de Telegram, ahora están utilizando bases de datos centralizadas y configuraciones mal protegidas en la nube.
Este cambio también refleja la intención de escalar los ataques a gran escala, ya que incluso con una tasa de éxito menor al 1 %, una base de 16 mil millones de credenciales podría resultar en millones de accesos no autorizados.
Recomendaciones básicas para usuarios
Si bien no se pudo establecer quiénes están detrás de estas bases de datos ni su objetivo concreto, los investigadores recomendaron a los usuarios que extremen sus precauciones y adopten buenas prácticas de ciberseguridad para minimizar los riesgos.
Entre las recomendaciones más importantes, señalaron la necesidad de cambiar las contraseñas con frecuencia, especialmente en aquellos servicios donde se utilicen datos sensibles o información personal. También sugirieron utilizar contraseñas únicas y seguras para cada plataforma, preferentemente generadas por gestores de contraseñas confiables.
Asimismo, destacaron la importancia de activar la autenticación multifactor (2FA), una herramienta clave para proteger las cuentas incluso si la contraseña principal fue o estuvo comprometida. Otro consejo fundamental fue revisar regularmente las configuraciones del navegador, con el fin de detectar y eliminar posibles ladrones de información (infostealers) que puedan estar operando sin que el usuario lo note.
Por último, los especialistas recomendaron monitorear de forma constante la actividad de las cuentas y contactar a los servicios correspondientes ante cualquier actividad sospechosa, ya que la detección temprana puede evitar consecuencias mayores.
Cybernews también puso a disposición del público una herramienta para verificar si sus credenciales fueron expuestas en esta u otras filtraciones previas.
Para dicha comprobación debes ingresar a este link https://cybernews.com/password-leak-check/ y colocar ahí la contraseña. El sitio verifica si la misma fue expuesta en la filtración. Una vez realizado el chequeo, por recomendaciones de los investigadores se cambia inmediatamente la contraseña que introdujiste en el sitio.
