• Una base de datos sin protección dejó expuestas 149 millones de contraseñas activas de servicios como Gmail, Facebook y Netflix.
  • El problema no fue un hackeo directo, sino una economía silenciosa de malware que roba credenciales desde los dispositivos.
  • Aunque el repositorio ya fue retirado, el riesgo real continúa: los datos probablemente ya circulan en mercados clandestinos.

El pasado 23 de enero, un hallazgo de seguridad reveló que una base de datos pública sin protección alguna albergaba 149 millones de combinaciones de usuario y contraseña de servicios ampliamente usados, incluidos Gmail, Facebook, Instagram, Netflix, OnlyFans y Binance.

Dicha base de datos era accesible desde un navegador sin credenciales, lo que expone la fragilidad del ecosistema actual de gestión de credenciales y la evolución de amenazas que la mayoría de los medios apenas están nombrando.

👉 Suscríbete para recibir análisis que van más allá del titular

Suscribirse

¿Qué contenía exactamente la base de datos?

El análisis de expertos indicó que dentro del repositorio, de cerca de 96 GB de datos sin cifrar, incluía credenciales para:

  • Gmail: ~48 millones
  • Facebook: ~17 millones
  • Instagram: ~6.5 millones
  • Yahoo, Outlook, iCloud: varios millones
  • Netflix, TikTok, OnlyFans: cientos de miles
  • Binance y otros servicios financieros: decenas de miles
  • Credenciales con dominios .gov y correos institucionales también aparecieron en los registros.

Lo más inquietante: la base de datos seguía creciendo mientras el investigador intentaba notificar al proveedor de hosting, lo que sugiere un funcionamiento activo y continuo.

Una wish list de hackers: ¿Por qué es diferente a una brecha tradicional?

Una wish list de hackers: ¿Por qué es diferente a una brecha tradicional?. Imagen: IA
Una wish list de hackers: ¿Por qué es diferente a una brecha tradicional?. Imagen: IA

A diferencia de una filtración donde una empresa sufre un ataque directo a sus servidores, este incidente no proviene de un único “hackeo” a Google o Meta.

Según Jeremiah Fowler, el veterano analista de seguridad que descubrió la base de datos, los datos fueron recopilados por malware denominado infostealer, que se instala en dispositivos y captura credenciales directamente desde navegadores, aplicaciones o entradas de teclado mediante técnicas como keylogging.

Aquí es donde la información suele detenerse: no es una falla de los servicios que usas, sino de la suma de prácticas inseguras de usuarios y una economía delictiva que automatiza el robo de credenciales a escala.

OpenAI (ChatGPT) confirma su hackeo más importante: ¿Qué datos de usuarios fueron robados?
OpenAI ha confirmado el hackeo más grande en su historia, afectando a miles de usuarios. ¿Qué datos fueron robados y cuáles son las implicaciones para la privacidad?
AdtechAdtech

El contexto oculto: la epidemia silenciosa de infostealers

Aunque esta base de datos es la más reciente en aparecer en titulares, investigaciones de empresas de ciberseguridad muestran que los ataques basados en malware que extraen credenciales han venido creciendo de forma exponencial:

  • Según el último informe de SpyCloud, 61 % de los incidentes de robo de identidad en 2023 estuvieron relacionados con malware de este tipo, y el promedio de identidades afectadas por infostealers sigue aumentando.
  • En 2025, el volumen de credenciales robadas por infostealers creció hasta en 800 % en comparación con años anteriores, reflejando la rápida expansión de estas herramientas.
  • Proveedores de software de seguridad han detectado centenares de miles de archivos maliciosos diarios que actúan como ladrones de contraseñas en dispositivos personales y corporativos.

Esto implica que el problema no es un solo repositorio sin protección, sino un ecosistema entero de extracción automatizada de credenciales que alimenta mercados clandestinos y servicios de ataque por encargo.

Lo que los expertos advierten y que pocos profundizan

Lo que los expertos advierten y que pocos profundizan. Imagen: IA.
Lo que los expertos advierten y que pocos profundizan. Imagen: IA.

Los especialistas en ciberdefensa han enfatizado puntos que rara vez se discuten con detalle en los titulares:

1. Las contraseñas ya no son una barrera confiable
Shane Barney, CISO de Keeper Security, señala que lo relevante de este incidente no es solo el volumen de datos, sino que evidencia una cadena de robo automático y acumulación de credenciales que pasa desapercibida hasta que se publica.

2. La reutilización de contraseñas multiplica el riesgo
Expertos han advertido desde hace años que reutilizar una contraseña en múltiples servicios transforma una sola filtración en una amenaza múltiple. Cuando una clave se filtra, los atacantes la prueban en otros sitios (un método conocido como credential stuffing).

3. El bajo costo de la infraestructura delictiva expande la base de delincuentes
Algunos analistas alertan de que el acceso a infraestructura para robar credenciales es relativamente barato, lo que reduce la barrera de entrada para nuevos ciberdelincuentes y facilita la acumulación y venta de datos.

Condena histórica a Meta en España: Competencia desleal y el uso irregular de datos
La justicia española condenó a Meta por competencia desleal y el manejo irregular de datos. Analizamos el fallo y el futuro de la regulación de plataformas digitales.
AdtechAdtech

¿Qué es lo que casi nadie menciona?

1. No todas las credenciales publicadas son "nuevas"

Es posible que muchos de los datos recopilados provengan de filtraciones previas o sesiones antiguas registradas por infostealers. Esto significa que la base de datos podría agrupar credenciales de diferentes épocas y fuentes.

2. La amenaza real no es la exposición, sino la explotación

El peligro verdadero no termina cuando se retira la base de datos: los datos ya fueron copiados, indexados y posiblemente usados en ataques reales. Muchos ciberdelincuentes no esperan a que se publique un hallazgo para actuar.

3. El factor humano sigue siendo el eslabón más débil

Más allá de la técnica, la mayoría de los incidentes de seguridad involucran al usuario final: contraseñas sencillas, repetidas o sin autenticación adicional son como dejar la puerta de tu casa abierta con cartel de “entre”.

Recomendaciones que realmente importan

Recomendaciones que realmente importan. Imagen: IA.
Recomendaciones que realmente importan. Imagen: IA.

Los expertos coinciden en que las contraseñas por sí solas ya no son suficientes y que es urgente adoptar medidas más robustas:

  • Activa autenticación multifactor (MFA) en todos los servicios.
  • Usa gestores de contraseñas para crear claves únicas y complejas.
  • Monitorea señales de actividad sospechosa y recibe alertas de exposición de datos.
  • Cambia contraseñas comprometidas inmediatamente, incluso si la empresa no confirma una brecha directa.

Se dice sencillo, pero la realidad es que la exposición de 149 millones de contraseñas es mucho más que un titular: es un indicio de cómo el robo y agregación automatizada de credenciales se ha convertido en una industria criminal estructurada, alimentada por prácticas inseguras y la proliferación de malware especializado.

Aunque los servicios afectados pueden no haber sido hackeados directamente, la acumulación de credenciales filtradas, reutilizadas y robadas representa una amenaza integral para toda tu identidad digital.

👉 ¿Sigues usando la misma contraseña en varios servicios?

Suscríbete a Adtech y entérate de este tipo de noticias que pueden ayudarte a proteger tu presencia en línea.

Leer más