- Una base de datos sin protección dejó expuestas 149 millones de credenciales de acceso a todo tipo de servicios online.
- Las cuentas afectadas incluyen Gmail, Facebook, OnlyFans, bancos, criptomonedas, sistemas gubernamentales y plataformas de streaming.
- La base, descubierta por el investigador Jeremiah Fowler, crecía de forma automatizada y fue retirada por violar los términos del proveedor.
- Expertos alertan de un aumento del riesgo de fraudes, robo de identidad y ciberestafas, especialmente en Europa y España.
Una enorme filtración de credenciales ha vuelto a poner en el punto de mira la fragilidad de la seguridad digital. Una base de datos accesible públicamente llegó a reunir 149 millones de nombres de usuario y contraseñas más usadas de todo tipo de servicios en internet, desde correos electrónicos y redes sociales hasta plataformas financieras y de entretenimiento.
Lo más preocupante es que este repositorio, expuesto sin ningún tipo de protección, incluía accesos a cuentas de usuarios de todo el mundo, también en Europa y España, y permaneció visible durante un tiempo indeterminado antes de ser eliminado. Aunque se desconoce quién estaba detrás de la recopilación, los indicios apuntan al uso de malware especializado en robo de información.
Qué se ha filtrado y de qué servicios proceden las contraseñas
La base de datos reunía credenciales de correos, redes sociales, servicios financieros, criptomonedas y plataformas de streaming en un mismo repositorio. Según el análisis difundido, se identificaron, entre otros, 48 millones de cuentas asociadas a Gmail y 17 millones vinculadas a Facebook, lo que da una idea del tamaño del incidente.
El conjunto de datos también albergaba millones de accesos a otros proveedores muy extendidos, como Yahoo o Netflix, donde han circulado correos falsos que se hacen pasar por Netflix, junto con credenciales de servicios de ocio para adultos, OnlyFans entre ellos. Además, se detectaron más de 400.000 cuentas relacionadas con Binance y otros actores del ecosistema cripto, lo que eleva el riesgo para quienes guardan o gestionan activos digitales.
Más allá del ámbito puramente privado, el repositorio incluía usuarios y contraseñas asociados a sistemas gubernamentales de varios países, así como datos de acceso de bancos minoristas, tarjetas de crédito y otros servicios financieros. La mezcla de entornos personales, profesionales y administrativos convierte la filtración en un posible punto de partida para campañas de fraude a gran escala.
Otro aspecto llamativo es que muchas credenciales afectadas pertenecían a servicios de uso cotidiano en España y la Unión Europea, como correos corporativos, herramientas de teletrabajo y plataformas de entretenimiento. Esto aumenta la probabilidad de que usuarios españoles y europeos se encuentren entre los damnificados, aunque por ahora no se ha difundido un desglose por países.
Según la investigación mediática que sacó el caso a la luz, la base de datos estaba accesible desde cualquier navegador, sin contraseña ni sistemas de autenticación. Bastaba saber la dirección del servidor para consultar, descargar o incluso copiar los registros, algo que habría permitido a terceros reutilizar o revender esa información con relativa facilidad.
Quién descubrió la base de datos y cómo se gestionó la retirada
El hallazgo fue obra del analista en seguridad Jeremiah Fowler, especializado en localizar repositorios de datos mal configurados o expuestos sin querer. En este caso, el experto se topó con un servidor comercial en el que se almacenaba la base de datos con acceso completamente abierto, sin cifrado ni credenciales de administrador.
Fowler explicó que, durante el tiempo que estuvo supervisando el incidente, la cantidad de registros seguía aumentando, lo que indica que el sistema que alimentaba la base continuaba en funcionamiento. Es decir, no se trataba de un volcado estático, sino de un repositorio que se actualizaba de forma más o menos continua con nuevas credenciales robadas.
Tras constatar el alcance del problema, el investigador trató de contactar con el proveedor que alojaba el servidor para advertir de la exposición de datos. Mientras se producía ese intercambio, el repositorio continuó público, de modo que cualquiera con los conocimientos adecuados podría haber accedido a las credenciales sin apenas esfuerzo técnico.
Finalmente, el proveedor decidió retirar la base de datos por vulnerar sus términos de servicio. El contenido dejó de ser accesible, pero no se ha hecho público cuántas veces pudo ser consultado o descargado, ni quién tuvo acceso a él durante el periodo de exposición. Tampoco se ha revelado si se ha compartido información con autoridades reguladoras europeas o con organismos de protección de datos.
La identidad de los responsables de la base sigue sin conocerse. No hay confirmación oficial sobre si se trataba de un grupo organizado de ciberdelincuentes, de un operador de servicios ilegales o de algún tipo de estructura intermedia que revendiera accesos en foros clandestinos. Esta falta de claridad complica valorar hasta qué punto las credenciales fueron explotadas con fines delictivos.
Medios especializados que han tenido acceso al análisis del incidente señalan que la información descubierta presenta características compatibles con repositorios que suelen emplearse en el mercado negro de datos. En estos entornos, es frecuente segmentar los accesos por tipo de servicio, país o valor potencial, para venderlos a distintos grupos de fraude según sus objetivos.
El papel del malware infostealer y la estructura de la base de datos
Los indicios apuntan a que la recopilación de datos se llevó a cabo mediante malware del tipo infostealer, un tipo de software malicioso diseñado para recolectar credenciales y otra información sensible almacenada en navegadores, gestores de contraseñas o aplicaciones. Este tipo de programas suele llegar a los dispositivos a través de correos de phishing, descargas infectadas o instaladores manipulados.
Entre las técnicas empleadas por estos infostealers destaca el keylogging, que registra las pulsaciones de teclado para reconstruir usuarios, contraseñas y otros datos introducidos en formularios. En muchos casos, el software malicioso se ejecuta en segundo plano sin levantar sospechas, lo que facilita que los atacantes acumulen grandes volúmenes de información en poco tiempo.
La forma en que estaba organizada la base de datos muestra un nivel elevado de automatización. Cada registro contaba con identificadores únicos no repetidos, lo que sugiere un sistema pensado para indexar y clasificar la información de manera eficiente. De este modo, los operadores podrían buscar por servicio, dominio de correo o fecha de captura, entre otros criterios.
Este tipo de estructura facilita que, una vez robados, los datos se puedan empaquetar y revender en lotes específicos: por ejemplo, accesos solo a bancos, solo a servicios de streaming o solo a plataformas de criptomonedas. Así, un mismo repositorio puede alimentar distintas líneas de negocio dentro del cibercrimen, desde fraudes bancarios hasta suplantaciones de identidad en redes sociales.
Los expertos consultados por medios internacionales coinciden en que, aunque no se haya identificado al propietario del repositorio, la probabilidad de que los datos hayan sido ofrecidos o consultados en circuitos del cibercrimen es alta. En esos entornos, los compradores pueden adquirir subconjuntos de credenciales en función del tipo de fraude que quieran llevar a cabo, o incluso contratar accesos «a medida».
Para las víctimas potenciales, el principal problema es que resulta casi imposible saber si una contraseña concreta, especialmente entre las contraseñas más inseguras, ha salido de este repositorio o de cualquier otra filtración previa, ya que muchas credenciales robadas acaban mezcladas en bases de datos que circulan durante años por foros y canales privados.
Riesgos para los usuarios en España y Europa
En un contexto donde España y la Unión Europea presentan un alto nivel de digitalización, una filtración de esta magnitud tiene impacto directo en el día a día de particulares y empresas. La exposición de credenciales aumenta considerablemente el riesgo de suplantación de identidad, fraudes financieros y estafas de todo tipo.
Uno de los peligros más inmediatos es el llamado credential stuffing, que consiste en probar de forma automática la misma combinación de usuario y contraseña en múltiples servicios. Dado que muchos usuarios reutilizan sus claves, una filtración en una plataforma puede abrir la puerta a accesos ilegítimos en otras, incluidas cuentas bancarias, servicios de administración electrónica o herramientas de trabajo remoto.
En el caso europeo, este tipo de incidentes también tiene una dimensión regulatoria. El Reglamento General de Protección de Datos (RGPD) y otras normativas comunitarias exigen que las organizaciones adopten medidas técnicas y organizativas para proteger las credenciales y notifiquen determinadas brechas. Aunque en este episodio el repositorio no pertenece, en principio, a una única empresa, sí pone de manifiesto la fragilidad de los ecosistemas de seguridad en torno a las contraseñas.
Los especialistas advierten de que la combinación de malware infostealer, exposición pública y reutilización de contraseñas crea el escenario ideal para campañas de phishing sofisticado dirigidas a usuarios europeos. Un atacante puede, por ejemplo, enviar correos que incluyan datos reales del usuario para reforzar la apariencia de legitimidad y así lograr que facilite más información o autorice pagos.
En España, donde el uso de redes sociales, servicios de streaming y banca online es muy extendido, cualquier persona que lleve años utilizando las mismas contraseñas en diferentes plataformas podría verse afectada de forma indirecta. Aunque no haya confirmación de qué registros corresponden a usuarios españoles, la presencia de servicios globales muy usados en el país invita a extremar la cautela.
Cómo proteger tus cuentas tras una filtración masiva
Ante un incidente de este calibre, la recomendación unánime de los expertos es revisar y reforzar las contraseñas, especialmente en aquellos servicios que concentran información sensible, como el correo principal, la banca online, las plataformas de criptomonedas o las cuentas de trabajo.
El primer paso es cambiar de inmediato las contraseñas antiguas o sospechosas y evitar, a partir de ahora, reutilizar la misma clave en varios sitios. Conviene optar por frases de paso largas y complejas, que combinen letras, números y símbolos, mejor si no tienen relación directa con datos personales como fechas de nacimiento o nombres de familiares.
Otra medida clave es activar la autenticación en dos factores (2FA) siempre que sea posible. Este sistema añade una segunda capa de seguridad, de manera que aunque alguien consiga la contraseña, necesitará un código adicional generado en una aplicación, enviado por SMS o producido por una llave física. Esta capa extra complica mucho la tarea a los atacantes.
Para gestionar claves robustas sin tener que memorizarlas todas, los expertos recomiendan el uso de gestores de contraseñas. Estas herramientas permiten almacenar de forma cifrada las credenciales y generar combinaciones aleatorias muy difíciles de adivinar. Bien configurados, se convierten en un aliado práctico para reducir errores humanos y mejorar la seguridad del conjunto de cuentas.
Además, es aconsejable revisar periódicamente si las propias credenciales han aparecido en filtraciones conocidas, utilizando servicios de comprobación de brechas de datos fiables. Aunque no ofrezcan un mapa completo de todas las bases que circulan por la red, sí ayudan a detectar incidentes concretos y a tomar medidas preventivas con mayor rapidez.
Por último, conviene adoptar una actitud proactiva frente a correos, mensajes y llamadas inesperadas que soliciten datos personales o financieros. Tras filtraciones de este tipo, es habitual que proliferen campañas de phishing que se apoyan en información real obtenida de repositorios como el descubierto, lo que facilita engañar a usuarios desprevenidos.
La magnitud de esta filtración de 149 millones de contraseñas pone sobre la mesa una realidad incómoda: gran parte de nuestra vida digital depende de sistemas de acceso que, si no se cuidan, pueden quedar al alcance de terceros con relativa facilidad. Este episodio funciona como recordatorio de la necesidad de mejorar hábitos, fortalecer medidas de seguridad y exigir mayores estándares de protección a los servicios que utilizamos a diario, tanto en España como en el resto de Europa.