- Una base de datos sin protección expuso más de 149 millones de credenciales, con unos 48 millones de cuentas de Gmail afectadas.
- Los datos proceden de malware "infostealer" y años de robos silenciosos, y se usaban para ataques como credential stuffing y phishing.
- Europa y España se ven potencialmente impactadas por el uso masivo de Gmail y otros servicios implicados.
- Expertos recomiendan cambiar contraseñas, activar doble factor y revisar sesiones y accesos en cuentas clave como Gmail.
Una reciente filtración masiva de contraseñas de Gmail ha encendido todas las alarmas en el ámbito de la ciberseguridad. Un gigantesco archivo alojado en la nube, sin ningún tipo de protección, ha dejado expuestas decenas de millones de cuentas de correo de usuarios de todo el mundo, muchas de ellas vinculadas a servicios críticos personales y profesionales.
La base de datos, que estuvo disponible públicamente durante un tiempo difícil de precisar, incluía nombres de usuario, contraseñas en texto claro y direcciones de acceso a múltiples servicios en línea. Aunque no se trata de un ataque directo y reciente contra los servidores de Google, la magnitud de la exposición y el peso específico de Gmail en la vida digital diaria convierten este incidente en un problema de primer orden, también para usuarios en España y en el resto de Europa.
Una base de datos gigantesca con millones de contraseñas de Gmail expuestas
El hallazgo de esta colosal base de credenciales robadas se atribuye al investigador de ciberseguridad Jeremiah Fowler, que trabajó en colaboración con la firma de seguridad ExpressVPN. Según su análisis, el archivo almacenaba 149.404.754 combinaciones únicas de inicio de sesión en un repositorio de aproximadamente 96 GB, accesible sin contraseña ni cifrado desde un servidor en la nube.
Dentro de ese volumen de información se identificó un número especialmente preocupante de cuentas de Google: alrededor de 48 millones de direcciones de Gmail con sus contraseñas correspondientes. Este dato sitúa a Gmail como uno de los servicios más afectados dentro de la filtración, algo lógico si se tiene en cuenta que la plataforma de Google suma más de 2.500 millones de usuarios en todo el mundo.
El archivo no se limitaba a simples listas de correos: en muchos registros aparecían correos electrónicos, nombres de usuario, contraseñas en texto plano y enlaces URL a las páginas de acceso donde se utilizaban esas credenciales. Este nivel de detalle es oro puro para cualquier ciberdelincuente, ya que permite automatizar ataques y probar directamente cada par usuario-contraseña en el servicio correspondiente.
Los expertos que han revisado la información subrayan que la exposición no se corresponde con una filtración aislada, sino con una recopilación masiva de datos robados a lo largo de años mediante distintas infecciones de malware. El servidor actuaba como un gran contenedor donde iban a parar credenciales extraídas de ordenadores y dispositivos comprometidos en todo el mundo.
Durante el tiempo en que el repositorio estuvo en línea, cualquiera que conociera o encontrara su dirección podía descargar millones de contraseñas de Gmail y otros servicios sin necesidad de técnicas avanzadas. Aunque finalmente el proveedor de alojamiento bloqueó el acceso, no hay garantías de que otras copias del archivo no sigan circulando en la red, sobre todo en entornos como la deep web o foros clandestinos.
Cómo se robaron las credenciales: infostealers, keylogging y repositorios en la nube
Los análisis de Fowler apuntan a que la base de datos filtrada era, en realidad, el resultado de la actividad de malware del tipo «infostealer», combinado con técnicas de keylogging. Este software malicioso se instala de forma silenciosa en los dispositivos, normalmente tras caer en trampas de phishing, descargar programas pirata o visitar páginas maliciosas, y se dedica a recopilar credenciales y otra información sensible.
Un infostealer puede capturar pulsaciones de teclado, extraer contraseñas guardadas en navegadores, copiar cookies de sesión y recolectar datos de acceso a servicios como Gmail, redes sociales, banca online o plataformas de pago. Toda esa información se envía después a servidores remotos controlados por los atacantes, donde se organiza y almacena para su explotación posterior.
En el caso de esta filtración, la base de datos incluía detalles técnicos como rutas de host en formato “host_reversed” (por ejemplo, com.ejemplo.usuario.equipo), lo que indica que el repositorio estaba diseñado para clasificar los datos por víctima y origen. Este tipo de estructura facilita reutilizar las credenciales en campañas más dirigidas, segmentadas por país, empresa o tipo de servicio.
Expertos en amenazas como Allan Liska han advertido de que los infostealers han democratizado el delito informático: por cantidades relativamente pequeñas, cualquier ciberdelincuente puede alquilar o comprar herramientas que automatizan el robo de miles de contraseñas. Una vez recopiladas, muchas de esas credenciales acaban en colecciones como la detectada por Fowler.
Otro elemento llamativo del caso es que ni siquiera los propios delincuentes parecen ser inmunes a las filtraciones. Al dejar el servidor sin protección, quien mantenía ese repositorio permitió que la misma información robada quedara expuesta al público general, algo que demuestra hasta qué punto una mala configuración de seguridad puede comprometer incluso a quienes se dedican al cibercrimen.
Gmail como epicentro del riesgo: por qué esta filtración es tan delicada
Entre todos los servicios afectados, Gmail se ha convertido en el punto más sensible de esta filtración masiva. No solo porque se haya identificado un volumen aproximado de 48 millones de cuentas con credenciales expuestas, sino porque el correo de Google actúa como llave maestra para infinidad de servicios asociados.
En la práctica, la mayoría de usuarios utiliza la misma dirección de Gmail para recuperar contraseñas de redes sociales, confirmar compras online, validar pagos, gestionar suscripciones y acceder a servicios profesionales. Si un atacante consigue entrar en esa bandeja de entrada, puede iniciar procesos de recuperación de cuenta en cascada y hacerse con el control de un buen número de servicios en pocos pasos.
Además, muchas cuentas de Gmail están asociadas a perfiles laborales, cuentas de empresa o accesos a herramientas corporativas en la nube. En esos casos, una sola contraseña comprometida puede convertirse en puerta de entrada a redes internas, documentos sensibles o información confidencial de clientes y proveedores.
Aunque los especialistas recalcan que no se ha producido un ataque directo reciente a la infraestructura de Google, el simple hecho de que tantas contraseñas válidas hayan quedado almacenadas en un repositorio abierto incrementa de forma notable la superficie de ataque contra usuarios de Gmail. Y el problema se amplifica cuando muchas personas reutilizan esa misma clave en otros servicios.
Desde el ámbito de la ciberseguridad se insiste en que los ciberdelincuentes no “eligen al azar”: se concentran en plataformas con un gran volumen de usuarios y alta actividad económica. Gmail encaja perfectamente en ese perfil, lo que explica que tantas de sus cuentas aparezcan reflejadas en la colección descubierta.
Del robo de contraseñas a los ataques: credential stuffing, suplantaciones y fraude
Una vez que las contraseñas de Gmail y otros servicios quedan expuestas en bases de datos de este tipo, el siguiente paso para los atacantes suele ser el credential stuffing, es decir, probar de forma automatizada combinaciones de usuario y contraseña en distintas plataformas hasta dar con accesos válidos.
Esta técnica se aprovecha de un hábito muy extendido: usar la misma contraseña (o variaciones muy similares) en varios sitios. Si una clave robada en un servicio sigue siendo válida en Gmail, o viceversa, el ciberdelincuente puede entrar sin necesidad de vulnerar sistemas complejos ni explotar fallos técnicos avanzados.
Cuando se accede a una cuenta de Gmail mediante credenciales filtradas, el abanico de posibles daños es amplio: leer correos privados, reenviar mensajes, restablecer contraseñas de otros servicios, acceder a historiales de compra o incluso interceptar comunicaciones con bancos, administraciones públicas o empresas.
La disponibilidad de millones de direcciones y claves también facilita campañas de phishing altamente personalizadas. Conociendo qué servicios usa una víctima y qué correo emplea para registrarse, es más sencillo elaborar mensajes que parecen legítimos, con asuntos relacionados con Google, bancos o redes sociales, pidiendo al usuario que confirme datos o autorice supuestas operaciones urgentes.
En los casos más graves, la combinación de acceso al correo y a otros servicios permite llevar a cabo fraude financiero directo: desde compras no autorizadas hasta movimientos en cuentas bancarias o monederos de criptomonedas. Para empresas e instituciones, una sola cuenta comprometida puede utilizarse como punto de apoyo para desplazarse lateralmente dentro de una red interna.
Impacto para Europa y España: millones de usuarios potencialmente afectados
Aunque la base filtrada no incluye un desglose detallado por país, el fuerte peso que tienen Gmail y el resto de servicios implicados entre los usuarios europeos hace pensar que una parte relevante de las credenciales pertenezca a ciudadanos de la Unión Europea, incluyendo España.
En el entorno regulatorio europeo marcado por el Reglamento General de Protección de Datos (RGPD), las grandes compañías están obligadas a notificar brechas internas relevantes. Sin embargo, este incidente tiene una particularidad incómoda: el repositorio descubierto parece ser una recopilación de fugas anteriores y robos mediante malware, no una vulneración puntual y reciente de los sistemas de una sola empresa.
Esa naturaleza fragmentada dificulta atribuir responsabilidades claras y limita el margen de actuación de las autoridades a la hora de exigir notificaciones individualizadas a todos los afectados. Aun así, organismos como la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (INCIBE) llevan tiempo alertando de que, más allá de las obligaciones legales de las compañías, los usuarios deben adoptar hábitos de seguridad más sólidos.
En España, el uso de Gmail está muy extendido tanto en el ámbito personal como profesional y educativo. Es habitual que esa misma cuenta se utilice para gestiones con la Administración, accesos a historiales médicos, banca online y compras en grandes comercios electrónicos. Si una contraseña comprometida sigue activa, el riesgo de que se encadene una serie de accesos no autorizados es muy real.
El tejido empresarial español tampoco queda al margen. Muchas organizaciones permiten que empleados y colaboradores accedan a herramientas corporativas desde cuentas personales de Gmail o desde dispositivos propios. Si alguna de esas cuentas aparece en una lista filtrada y no se ha reforzado la seguridad con doble factor u otros controles, un atacante podría terminar colándose en entornos internos con relativa facilidad.
Qué deben hacer los usuarios de Gmail para proteger sus cuentas
Ante una filtración masiva de contraseñas de Gmail de estas dimensiones, los especialistas recomiendan actuar con la idea de que cualquier cuenta podría estar en riesgo, incluso aunque el usuario no haya recibido todavía una notificación específica por parte de Google u otro proveedor.
El primer paso consiste en cambiar la contraseña de Gmail y del resto de servicios clave (banca online, redes sociales, plataformas de pago, acceso al trabajo, etc.). Esa nueva clave debe ser larga, única y difícil de adivinar, evitando reutilizar la misma combinación en distintas webs, algo que sigue siendo una de las grandes debilidades de la mayoría de usuarios.
Para facilitar la gestión de múltiples contraseñas robustas, los expertos aconsejan utilizar un gestor de contraseñas. Estas aplicaciones generan claves aleatorias seguras y las guardan cifradas, de forma que el usuario solo tiene que recordar una contraseña maestra. Es una forma práctica de abandonar el hábito de repetir contraseñas por comodidad.
Otra medida importante es revisar desde la propia configuración de seguridad de Google el apartado de «Tus dispositivos» y las sesiones abiertas. Desde ahí se pueden cerrar accesos activos en móviles, ordenadores o navegadores que no se reconozcan o que ya no se usen, reduciendo así la posibilidad de que intrusiones anteriores sigan teniendo efecto.
También resulta útil comprobar si alguna de tus direcciones de correo se encuentra en bases de datos públicas de filtraciones utilizando servicios de verificación de brechas de confianza reconocida. Aunque no todos los repositorios descubiertos terminan en estas herramientas, pueden servir como indicador adicional de exposición y motivar cambios más rápidos de contraseñas.
El papel clave del doble factor y la higiene digital diaria
Más allá de modificar contraseñas, la recomendación más insistente de los expertos es activar la verificación en dos pasos (2FA o MFA) en Gmail y en cualquier otro servicio que lo permita. Esta función añade una segunda capa de seguridad, de manera que, aunque alguien conozca la contraseña, no pueda entrar sin un código adicional o un método de autenticación extra.
En el caso de Google, esta verificación puede hacerse mediante aplicaciones como Google Authenticator, notificaciones en el móvil o llaves de seguridad físicas. Para el usuario, supone un pequeño paso más al iniciar sesión; para un atacante que solo dispone de la contraseña robada, puede ser una barrera difícil de superar.
Otra pata fundamental de la protección es revisar con cierta frecuencia las aplicaciones de terceros que tienen acceso a la cuenta de Google. Con el tiempo se van autorizando herramientas y servicios que después se dejan de usar. Revocar permisos antiguos y limitar los que se mantienen reduce el número de puertas por las que un atacante podría intentar colarse.
Los especialistas también recuerdan la importancia de mantener sistemas operativos, navegadores y soluciones de seguridad siempre actualizados. Muchos infostealers aprovechan fallos conocidos en software desactualizado o se distribuyen a través de documentos y macros que los antivirus modernos detectan mejor cuando cuentan con las últimas firmas y parches.
En el día a día, conviene extremar la precaución ante correos, SMS o mensajes en redes que pidan datos personales o financieros, aunque parezcan venir de Google, bancos o empresas de confianza. Comprobar la dirección real del remitente, desconfiar de mensajes con tono demasiado urgente y escribir manualmente la URL del servicio en el navegador en lugar de hacer clic en enlaces son hábitos sencillos que pueden evitar muchos disgustos.
El descubrimiento de un repositorio abierto con casi 150 millones de credenciales, entre ellas decenas de millones de cuentas de Gmail, vuelve a evidenciar que la combinación de malware silencioso, servidores mal configurados y malos hábitos de seguridad puede dejar la vida digital de cualquiera al descubierto. Aunque la base concreta ya no sea accesible, la posibilidad de que sus contenidos se hayan copiado y sigan circulando obliga a los usuarios de España y de toda Europa a tomarse muy en serio la protección de sus cuentas: reforzar contraseñas, activar el doble factor, vigilar accesos y moverse con más cautela por internet han dejado de ser opciones recomendables para convertirse en pasos imprescindibles si se quiere mantener a raya el riesgo de que un tercero acabe controlando nuestro Gmail y, con él, buena parte de nuestra identidad digital.
