Una base de datos expuesta en Internet, sin contraseña ni cifrado, ha vuelto a poner el foco en una de las amenazas más incómodas de la ciberseguridad actual: el robo masivo de cuentas “por goteo”, acumulado durante meses, y listo para reutilizarse de forma automatizada. La investigación describe un repositorio con 149.404.754 registros únicos de credenciales (usuario y contraseña) asociados a servicios tan comunes como Gmail, Instagram, Facebook o Netflix, entre muchos otros.
El hallazgo se atribuye al investigador de ciberseguridad Jeremiah Fowler, que detectó el conjunto de datos accesible públicamente y notificó la exposición. Según los detalles publicados, el repositorio rondaba los 96 GB (otras coberturas lo sitúan cerca de los 98 GB) y contenía, además de correos, usuarios y contraseñas, las URLs exactas de inicio de sesión, un matiz que facilita desde campañas de phishing más creíbles hasta ataques automatizados de prueba de credenciales.
La clave que muchos pasan por alto: no es “un hackeo de Gmail”, es infostealer
El titular fácil sería hablar de “cuentas de Gmail hackeadas”. El problema es que esa formulación induce a error. Lo descrito no apunta a una brecha directa en Google, Meta o Netflix, sino a credenciales robadas previamente mediante malware tipo infostealer y herramientas de keylogging (captura de pulsaciones), que terminan agregándose en grandes colecciones. Dicho de otra forma: el ataque no entra por la puerta del proveedor, entra por el dispositivo del usuario, su navegador o sus extensiones.
Este matiz es decisivo porque también cambia la defensa. Cuando el origen es un infostealer, “cambiar la contraseña” puede ser insuficiente si antes no se corrige la causa: un equipo infectado puede volver a robar la contraseña nueva en minutos. Además, estas colecciones suelen incluir combinaciones reutilizadas en múltiples servicios, lo que alimenta el fenómeno más rentable para los atacantes: el credential stuffing (relleno de credenciales), donde bots prueban automáticamente la misma pareja usuario/contraseña en decenas de plataformas.
Qué se vio en el muestreo: el tamaño del problema en cifras
El análisis publicado incluye un muestreo del repositorio que refleja la escala del impacto potencial, especialmente en correo electrónico y redes sociales. Conviene leerlo como estimaciones sobre el conjunto observado, no como “cuentas comprometidas hoy” en sentido estricto.
| Servicio / proveedor | Credenciales observadas (aprox.) |
|---|---|
| Gmail | 48.000.000 |
| Yahoo | 4.000.000 |
| Outlook | 1.500.000 |
| iCloud | 900.000 |
| Dominios .edu | 1.400.000 |
| 17.000.000 | |
| 6.500.000 | |
| TikTok | 780.000 |
| Netflix | 3.400.000 |
| Binance | 420.000 |
| OnlyFans | 100.000 |
Estas cifras ilustran el porqué de la alarma: el correo electrónico es, en la práctica, la “llave maestra” para recuperar contraseñas de otros servicios. Y cuando el dataset incorpora también enlaces de acceso, la industrialización del ataque es más directa: menos fricción para el bot y más probabilidad de éxito en la primera oleada.
El riesgo real: cuentas, suplantaciones y accesos encadenados
Con una base así, el objetivo no es “leer correos” por curiosidad. Es escalar: entrar en una cuenta, secuestrar la recuperación de otras, robar códigos de verificación, suplantar identidades o pivotar hacia entornos corporativos. El muestreo menciona incluso presencia de credenciales asociadas a dominios .gov, un detalle especialmente sensible por el valor que tiene para campañas de spear phishing y suplantación dirigida.
La parte más preocupante es la asimetría: la mayoría de usuarios no nota nada… hasta que llega un cargo, un inicio de sesión desde otro país o un aviso de “hemos restablecido tu contraseña”. Para entonces, el atacante puede haber cambiado email de recuperación, añadido un método 2FA propio o generado tokens persistentes en apps conectadas.
Una retirada lenta y una ventana de exposición peligrosa
Otro elemento que agrava el caso es el tiempo de reacción descrito: tras el aviso, el repositorio habría permanecido accesible durante semanas y, según la información publicada, el número de registros llegó a aumentar entre el descubrimiento y la restricción final del acceso público, lo que sugiere una recolección activa durante el periodo de exposición.
Sin atribución clara del propietario del repositorio, queda la duda más incómoda: cuántas personas (o grupos) accedieron a la base antes del cierre y cuánto de ese material ya ha circulado o se está revendiendo en canales clandestinos.
Qué debería hacer un usuario “normal” hoy mismo
En casos asociados a infostealers, la respuesta eficaz combina higiene del dispositivo y reducción del valor de la contraseña:
- Activar 2FA (mejor app de autenticación o llave física; SMS solo como último recurso).
- Cambiar contraseñas empezando por el correo principal y cualquier cuenta con pagos, pero solo después de comprobar que el equipo está limpio (actualizaciones, análisis antimalware, revisión de extensiones).
- Eliminar reutilización: una contraseña única por servicio con un gestor de contraseñas.
- Revisar sesiones activas y dispositivos conectados en Gmail/Instagram/Facebook y cerrar las que no se reconozcan.
- Alertas y vigilancia: notificaciones de inicio de sesión, actividad bancaria y correo de recuperación.
La lección de fondo es menos tecnológica y más humana: el malware moderno no necesita “romper” a Google para ganar. Le basta con aprovechar el eslabón más débil: un PC sin parches, una extensión dudosa o una contraseña repetida desde 2016.
Preguntas frecuentes
¿Cómo saber si mi cuenta de Gmail está en una filtración de credenciales?
Lo más práctico es revisar si han existido inicios de sesión no reconocidos, cambios en métodos de recuperación, reglas de reenvío sospechosas y alertas de seguridad. También conviene comprobar si la contraseña se ha reutilizado en otros servicios.
¿Qué es un ataque de “credential stuffing” y por qué funciona tan bien?
Es un ataque automatizado que prueba combinaciones usuario/contraseña robadas en múltiples webs. Funciona porque muchas personas reutilizan la misma contraseña en correo, redes sociales y tiendas online.
¿Sirve de algo cambiar la contraseña si mi ordenador tiene un infostealer?
Puede no servir: si el dispositivo sigue infectado, la contraseña nueva puede ser robada de inmediato. Primero hay que actualizar, analizar el equipo y revisar extensiones y software instalado; después, cambiar credenciales y activar 2FA.
¿Qué medidas son más efectivas para proteger varias cuentas a la vez?
Activar 2FA en el correo principal, usar un gestor de contraseñas con claves únicas, mantener sistema y navegador actualizados y eliminar extensiones innecesarias reduce drásticamente el riesgo de secuestro en cadena.
vía: cybersecuritynews
