Más de 140 millones de cuentas quedaron comprometidas tras una filtración masiva de usuarios y contraseñas que afectó a personas y servicios en todo el mundo. El hallazgo fue realizado por el investigador en ciberseguridad Jeremiah Fowler y documentado en un informe publicado en ExpressVPN.
Fuga masiva de datos: cómo se descubrió y qué información quedó expuesta
La base de datos expuesta contenía un volumen elevado de información sensible. Fowler reportó que el archivo sin cifrar ni protección alcanzaba 96 GB e incluía 149.404.754 inicios de sesión y contraseñas únicas. La revisión preliminar identificó miles de documentos con correos electrónicos, nombres de usuario, contraseñas y URL de acceso o autorización de cuentas.
El investigador señaló que no se trata de un caso aislado y que evidencia la amenaza persistente del malware que roba credenciales. También destacó que los datos robados suelen almacenarse en repositorios en la nube, por lo que incluso quienes usan herramientas maliciosas pueden verse afectados por filtraciones.
En este caso, la base era de acceso público, lo que permitía a cualquiera que la encontrara acceder potencialmente a las credenciales de millones de usuarios.
Plataformas y servicios afectados por la filtración de contraseñas
La filtración abarcó una amplia variedad de servicios. Se detectaron credenciales de redes sociales como Facebook, Instagram, TikTok y X, además de cuentas vinculadas a sitios y aplicaciones de citas. También aparecieron cuentas de OnlyFans, tanto de creadores como de clientes.
Asimismo, se encontraron credenciales relacionadas con plataformas de entretenimiento y streaming como Netflix, HBO Max, DisneyPlus y Roblox. El muestreo revisado por Fowler incluyó además cuentas financieras, billeteras de criptomonedas, plataformas de trading y datos relacionados con accesos bancarios y tarjetas de crédito.
Entre las estimaciones destacadas figuran aproximadamente 48 millones de cuentas de Gmail, 4 millones de Yahoo, 1,5 millones de Outlook, 900 mil de iCloud y 1,4 millones de dominios .edu. En cuanto a redes y entretenimiento, se identificaron alrededor de 17 millones de cuentas de Facebook, 6,5 millones de Instagram, 780 mil de TikTok, 3,4 millones de Netflix, 100 mil de OnlyFans y 420 mil de Binance.
Riesgos para cuentas gubernamentales y seguridad nacional
El análisis también detectó credenciales asociadas a dominios .gov de varios países. Fowler advirtió que, aunque no todas las cuentas vinculadas a gobiernos dan acceso a sistemas sensibles, incluso un acceso limitado puede tener consecuencias graves según el rol y los permisos del usuario comprometido.
La exposición de credenciales gubernamentales facilita campañas de phishing dirigidas, suplantaciones de identidad y posibles accesos a redes oficiales, incrementando el riesgo para la seguridad pública y nacional si la información cae en las manos equivocadas.
La respuesta ante la filtración: gestión, reportes y consecuencias
La base de datos no contenía información clara sobre su propietario, por lo que Fowler la reportó al proveedor de hosting mediante un formulario de abuso en línea.
En primera instancia, la respuesta indicaba que la dirección IP no correspondía a la compañía matriz sino a una subsidiaria que aún utilizaba el nombre de la organización principal.
Tras casi un mes de insistencia y varios intentos de notificación, el hosting fue suspendido y las millones de credenciales dejaron de estar accesibles públicamente.
El proveedor no ofreció información sobre quién administraba la base ni confirmó si los datos se utilizaron con fines delictivos o de investigación. Tampoco se conoce cuánto tiempo estuvo disponible la base antes del reporte ni si otros actores accedieron a ella.
Origen de los datos: malware infostealer y keylogging
El informe indica que la información parecía provenir de keyloggers y de malware tipo “infostealer”, programas diseñados para extraer credenciales de dispositivos infectados de forma silenciosa.
A diferencia de otras bases estudiadas, esta incluía campos adicionales, como la ruta “host_reversed” en formato (com.example.user.machine), lo que facilita organizar los datos robados según la víctima y el origen.
Fowler concluye que este caso demuestra que ni siquiera quienes emplean herramientas maliciosas están a salvo de filtraciones: la base era de acceso público y permitía a cualquier persona acceder potencialmente a las credenciales de millones de usuarios.
