En las últimas semanas, una noticia alarmante sacudió el mundo digital: 16 mil millones de contraseñas fueron expuestas y estaban accesibles en la dark web. Estas filtraciones contenían combinaciones de usuario y contraseña para una vasta gama de servicios online, incluyendo cuentas de Google, Facebook, Meta, Apple y otras plataformas.
Investigadores de Cybernews hicieron público este hallazgo, aunque sitios especializados como Bleeping Computer sugieren que esta colección es, en realidad, una compilación masiva de datos previamente filtrados a lo largo de los años. Se advirtió que la información habría sido robada mediante malware infostealer, ataques de credential stuffing y antiguas filtraciones.
Un investigador reveló el descubrimiento de 30 conjuntos de datos estructurados en formato URL | username | password, lo que sugiere que provienen de registros generados por infostealers. Estos programas maliciosos se infiltran comúnmente a través de campañas de phishing, sitios de descargas fraudulentas o software pirateado. Representan una de las principales herramientas del cibercrimen moderno, facilitando fraudes de identidad, robos de cuentas y estafas con criptomonedas.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, comentó: «Aunque el investigador que accedió a estas bases aclara que los registros provienen de múltiples fuentes y podrían estar duplicados o ser inválidos, si tan solo una parte de ellos es legítima, representa un riesgo significativo para los usuarios que continúen reutilizando contraseñas o no incorporen el factor de doble autenticación (2MFA)».
Los datos expuestos pueden ser utilizados para diversas actividades maliciosas:
- Credential Stuffing: Intentos automatizados de inicio de sesión con credenciales filtradas.
- Account Takeover (ATO): Acceso no autorizado a cuentas mediante contraseñas o tokens válidos.
- Phishing Dirigido: Campañas personalizadas con datos reales de usuarios para hacerlas más convincentes.
Gutiérrez Amaya añadió: «Si bien este hallazgo no representa una amenaza nueva, sí pone en evidencia los riesgos de tener credenciales comprometidas. Los intentos de phishing pueden valerse de información parcial que recolecten los cibercriminales para seducirte y conseguir más información sensible».
Este tipo de datasets permite escalar ataques, sistematizar campañas de distribución de malware y tomar el control de cuentas sin medidas de seguridad adicionales. Los infostealers son clave en este proceso, diseñados para robar silenciosamente información sensible como credenciales, cookies de sesión o datos financieros de los dispositivos infectados.
Entre los servicios mencionados en los registros se encuentran Google Workspace, Apple ID, Microsoft 365, Meta (Facebook, Instagram, WhatsApp), GitHub, Amazon, Netflix, y plataformas bancarias, gubernamentales y educativas.El investigador de ESET Latinoamérica alertó: «Este tipo de eventos son un recordatorio de cómo nuestros datos, una vez filtrados, pueden impactar en nuestra vida digital mucho tiempo después de haber ocurrido. Nos recuerda que debemos estar atentos e implementar medidas básicas de ciberseguridad en la gestión de nuestras cuentas y credenciales de acceso».
Las credenciales e información sensible robada circulan en la dark web, cada vez de manera más sistematizada para su explotación por el cibercrimen. La gestión adecuada de contraseñas y accesos, tanto en redes personales como corporativas, es el primer paso para invalidar esos datos robados y hacer obsoleta cualquier base de datos de credenciales.
Según ESET, aquí tienes algunos consejos clave para evitar que tus datos sean utilizados si fueron expuestos:
- Configura la Autenticación Multifactor (MFA): Evita los SMS como único factor, ya que pueden ser interceptados. Opta por métodos más seguros.
- Adopta Passkeys: Úsalas siempre que el servicio lo permita. Las passkeys son credenciales basadas en criptografía asimétrica (WebAuthn/FIDO2) que reemplazan las contraseñas tradicionales, ofreciendo mayor seguridad y comodidad. Son compatibles con servicios como Google (cuentas personales y empresariales), Apple ID (iOS/macOS), Microsoft (Windows Hello, Azure AD), GitHub, Meta (Facebook, Instagram, WhatsApp) y navegadores como Chrome, Safari y Edge.
- Optimiza la Gestión de Credenciales y Contraseñas: Utiliza gestores de contraseñas que te ayuden a crear claves fuertes y únicas, y que te alerten si alguna de tus contraseñas ha sido comprometida en una filtración.
En opinión del experto, la adopción de tecnologías como passkeys y MFA, junto con una gestión proactiva de credenciales, es esencial para reducir el riesgo de que nuestras cuentas sean comprometidas.
