Hacker revela 6.800 millones de emails y advierte: «Sus datos son públicos»

Iniciado por AXCESS, Febrero 11, 2026, 11:07:15 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 11, 2026, 11:07:15 PM Ultima modificación: Febrero 12, 2026, 03:30:28 PM por AXCESS
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Miles de millones de direcciones de correo electrónico filtradas, extraídas y robadas se compartieron en una sola base de datos, lo que permitió una oleada de phishing a una escala sin precedentes. Sin embargo, investigadores creen que el conjunto de datos contiene muchas menos direcciones legítimas de las que afirman los atacantes.

Conclusiones clave:

Un usuario del foro publicó una base de datos que afirmaba contener 6.800 millones de direcciones de correo electrónico únicas recopiladas de diversas fuentes de datos en línea.

Investigadores en ciberseguridad estiman que la cantidad real de correos electrónicos legítimos se acerca a los 3.000 millones.

Incluso una pequeña fracción de la tasa de éxito con 3.000 millones de correos electrónicos podría generar miles de víctimas potenciales.

Los atacantes afirman haber recopilado correos electrónicos a partir de combinaciones de credenciales, registros y bases de datos recopiladas durante varios meses de trabajo de extracción.

La publicación que presumía de una enorme recopilación de correos electrónicos apareció en un popular foro sobre filtraciones de datos a principios de este año. Mientras tanto, el usuario del foro que subió la base de datos afirma haber pasado varios meses investigando diversas fuentes en línea, que a menudo contenían datos obtenidos ilegalmente.

"Hace dos años, obtuve más de 3.300 millones de direcciones de correo electrónico únicas. Tras un largo descanso, retomé esto y pasé unos dos meses extrayendo correos electrónicos de varias combinaciones, colecciones ULP, registros y bases de datos, y extraje 6.839.584.670 direcciones de correo electrónico únicas", declaró el autor de la publicación, conocido como Adkka72424.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es probable que Adkka72424 tuviera acceso a muchos más datos de credenciales, ya que los ladrones de información y las colecciones suelen contener direcciones de correo electrónico y contraseñas juntas. Sin embargo, es posible que el atacante haya decidido conservar una compilación con miles de millones de direcciones de correo electrónico y contraseñas para uso personal.

El atacante afirma estar concienciando y buscando la atención del experto en ciberseguridad Troy Hunt. Hasta el momento, los intentos de llamar la atención de los expertos no han tenido éxito. Adkka72424 también se dirige a las personas que podrían estar preocupadas por la aparición de sus datos personales en su colección.

"Bueno, en ese caso, tengo malas noticias: quienes les confiaste los datos no los protegieron adecuadamente y tus datos son públicos", dijo el autor de la publicación.

"Sin embargo, esto NO significa que se haya acabado. Simplemente cambia las contraseñas en los sitios web importantes y añade la autenticación de dos factores (2FA) para que nadie robe tus valiosos datos. ¡Buena suerte!", dijo el atacante.

¿La principal base de datos de correo electrónico contiene realmente miles de millones de correos electrónicos?

Mientras tanto, el equipo de investigación de Cybernews investigó el conjunto de datos de 150 GB y observó que, al menos en teoría, el atacante no mintió sobre el tamaño de la colección. El conjunto de datos incluía más de 6.800 millones de líneas de datos, tal como lo indicó el autor de la publicación.

Sin embargo, nuestro equipo detectó numerosas direcciones de correo electrónico no válidas, lo que, según los investigadores, dificulta considerablemente el uso de la base de datos para atacantes aficionados. En primer lugar, la base de datos requiere tiempo y esfuerzo para ser reparada y estar lista para ataques a gran escala.

El equipo cree que, tras eliminar los correos electrónicos inutilizables y los duplicados, el número real de direcciones de correo electrónico en la base de datos podría ser significativamente menor, rondando los 3 mil millones de direcciones únicas.

Muestra de los datos de la principal base de datos de correo electrónico
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aunque supera la mitad del tamaño previsto inicialmente, varios miles de millones de direcciones de correo electrónico en una sola base de datos siguen siendo una cantidad enorme de objetivos listos para usar para los ciberdelincuentes. Dado que la escalabilidad y la automatización son la clave de los ataques de phishing, los actores maliciosos podrían encontrar este tipo de lista muy útil.

Si tan solo el 0,001 % de los titulares de correos electrónicos de la base de datos de 3 mil millones de correos legítimos hiciera clic en un enlace malicioso, los atacantes obtendrían 30 000 víctimas potenciales que podrían infectarse con malware y potencialmente perder su dinero.

El equipo cree que, como mínimo, la recopilación masiva de correos electrónicos puede ahorrar tiempo a los actores maliciosos que saben cómo gestionar adecuadamente la recopilación de datos a gran escala.

Algunas direcciones de correo electrónico en la lista parecen ser falsas
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según los comentarios en el hilo del foro, la mayoría de los usuarios están entusiasmados con la idea de usar los datos para comprobar si otras filtraciones contienen información nueva, comparando las entradas con esta versión. Esto permite a los cibercriminales ahorrar tiempo al intentar explotar únicamente las cuentas filtradas recientemente descubiertas, explicó el equipo.

Si bien hace una década, almacenar miles de millones de registros era prerrogativa de los estados-nación, los estafadores modernos suelen aumentar su almacenamiento con cantidades masivas de credenciales, a menudo robadas o extraídas.

El problema de los "miles de millones de registros filtrados"

La semana pasada, se publicó los hallazgos sobre un clúster de Elasticsearch expuesto que contenía más de 160 índices y albergaba 8.700 millones de registros, principalmente chinos, que abarcaban desde números de identificación nacional hasta diversos registros comerciales.

En diciembre pasado, el equipo descubrió una base de datos desprotegida con 4.300 millones de registros, algunos con información personal derivada de LinkedIn. La instancia, de 16 TB, contenía correos electrónicos, fotos, historiales laborales y otros datos personales. Una sola colección contenía 732 millones de registros, incluyendo fotografías.

En julio, Cybernews cubrió una de las mayores filtraciones de datos de la historia, después de que investigadores descubrieran varias colecciones de credenciales de inicio de sesión con 16 mil millones de registros. El equipo encontró 30 conjuntos de datos expuestos, cada uno con entre decenas de millones y más de 3500 millones de registros.

Los datos filtrados incluían información de inicio de sesión de prácticamente todos los servicios en línea, como Apple, Facebook, Google, GitHub, Telegram e incluso plataformas gubernamentales.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario