(https://i.postimg.cc/63sKKfz6/Leak.png) (https://postimg.cc/HJtR45fF)
149 millones de nombres de usuario y contraseñas expuestos en línea, incluyendo cuentas financieras, Instagram, Facebook, Roblox, sitios de citas y más.
El investigador de ciberseguridad Jeremiah Fowler descubrió una filtración de datos de 149 millones de nombres de usuario y contraseñas, y compartió sus hallazgos con ExpressVPN. Publicamos su informe para ayudar al público a mantenerse informado y protegido como parte de nuestro esfuerzo continuo para destacar los riesgos de seguridad importantes.
La base de datos expuesta públicamente no estaba protegida con contraseña ni cifrada. Contenía 149.404.754 nombres de usuario y contraseñas únicos, lo que suma un total de 96 GB de datos de credenciales sin procesar. En una muestra limitada de los documentos expuestos, vi miles de archivos que incluían correos electrónicos, nombres de usuario, contraseñas y los enlaces URL para iniciar sesión o autorizar las cuentas. Este no es el primer conjunto de datos de este tipo que he descubierto y solo subraya la amenaza global que representa el malware de robo de credenciales. Cuando se recopilan, roban o extraen datos, deben almacenarse en algún lugar, y un repositorio basado en la nube suele ser la mejor solución. Este descubrimiento también demuestra que ni siquiera los ciberdelincuentes son inmunes a las filtraciones de datos. La base de datos era de acceso público, lo que permitía a cualquiera que la descubriera acceder potencialmente a las credenciales de millones de personas.
Los registros expuestos incluían nombres de usuario y contraseñas recopilados de víctimas de todo el mundo, abarcando una amplia gama de servicios en línea de uso común y prácticamente cualquier tipo de cuenta imaginable. Estos incluían plataformas de redes sociales como Facebook, Instagram, TikTok y X (anteriormente Twitter), así como sitios o aplicaciones de citas y cuentas de OnlyFans, lo que indica rutas de inicio de sesión tanto de creadores como de clientes. También vi una gran cantidad de cuentas de streaming y entretenimiento, incluyendo Netflix, HBO Max, Disney+, Roblox y más. En la muestra limitada de registros que revisé también aparecieron cuentas de servicios financieros, billeteras o cuentas de comercio de criptomonedas, y credenciales de banca y tarjetas de crédito.
Una preocupación grave fue la presencia de credenciales asociadas a dominios .gov de numerosos países. Si bien no todas las cuentas vinculadas al gobierno otorgan acceso a sistemas confidenciales, incluso el acceso limitado podría tener graves implicaciones dependiendo del rol y los permisos del usuario comprometido. Las credenciales gubernamentales expuestas podrían utilizarse para ataques de phishing dirigidos, suplantación de identidad o como punto de entrada a redes gubernamentales. Esto aumenta el potencial de que las credenciales .gov representen riesgos para la seguridad nacional y la seguridad pública.
La base de datos no tenía información de propiedad asociada, por lo que la informé directamente al proveedor de alojamiento a través de su formulario de denuncia de abuso en línea. Recibí una respuesta varios días después, en la que se indicaba que no alojaban la dirección IP y que se trataba de una filial que operaba de forma independiente, aunque seguía utilizando el nombre de la organización principal. Pasó casi un mes y se necesitaron varios intentos antes de que finalmente se tomaran medidas y se suspendiera el alojamiento, impidiendo así el acceso a millones de credenciales de inicio de sesión robadas. El proveedor de alojamiento no quiso revelar ninguna información adicional sobre quién gestionaba la base de datos; se desconoce si se utilizó para actividades delictivas, si la información se recopiló con fines de investigación legítimos o cómo y por qué la base de datos quedó expuesta públicamente. Se desconoce cuánto tiempo estuvo expuesta la base de datos antes de que la descubriera y la denunciara, o si otras personas pudieron haber accedido a ella. Un hecho preocupante es que el número de registros aumentó desde el momento en que descubrí la base de datos hasta que se restringió el acceso y dejó de estar disponible.
Desglose de proveedores de correo electrónico (estimado):
48 millones - Gmail
4 millones - Yahoo
1,5 millones - Outlook
900 mil - iCloud
1,4 millones - .edu
Otras cuentas destacadas incluyen:
17 millones - Facebook
6,5 millones - Instagram
780 mil - TikTok
3,4 millones - Netflix
100 mil - OnlyFans
420 mil – Binance
(https://www.expressvpn.com/wp-ws-cache/uploads-expressvpn/2026/01/149m-infostealer-data-exposed-4.png)
Esta captura de pantalla muestra el número total de registros y el tamaño de la base de datos de robo de información expuesta.
(https://www.expressvpn.com/wp-ws-cache/uploads-expressvpn/2026/01/149m-infostealer-data-exposed-1.jpg)
Esta imagen muestra capturas de pantalla de cuentas y credenciales, incluyendo cuentas de Instagram, Google y OnlyFans.
(https://www.expressvpn.com/wp-ws-cache/uploads-expressvpn/2026/01/149m-infostealer-data-exposed-2.jpg)
Esta imagen muestra capturas de pantalla de cuentas y credenciales, incluyendo Facebook, una cuenta gubernamental de Brasil y un inicio de sesión administrativo de WordPress.
(https://www.expressvpn.com/wp-ws-cache/uploads-expressvpn/2026/01/149m-infostealer-data-exposed-3.png)
Esta captura de pantalla muestra cómo se podía buscar en el índice utilizando solo un navegador web.
La base de datos parecía almacenar malware de registro de pulsaciones de teclas y de robo de información, un tipo de software malicioso diseñado para recopilar credenciales de forma silenciosa de los dispositivos infectados. Estos archivos eran diferentes de los conjuntos de datos de malware de robo de información anteriores que he visto, ya que registraban información adicional. Los registros también incluían la ruta "host_reversed" formateada como (com.example.user.machine). Esta estructura se utiliza para crear una forma fácilmente indexable de organizar los datos robados por víctima y origen. Invertir el nombre de host también puede ayudar a evitar conflictos de directorio o como un intento de eludir las reglas básicas de detección que buscan formatos de dominio estándar. El sistema utilizaba un hash de línea como ID de documento para garantizar un registro único por cada línea de registro única. En una búsqueda limitada de estos hash e ID de documento, se identificó que eran únicos y no se encontraron duplicados.
Riesgos potenciales de las credenciales expuestas
La exposición de una cantidad tan grande de inicios de sesión y contraseñas únicos presenta un riesgo de seguridad potencialmente grave para un gran número de personas que quizás no sepan que su información fue robada o expuesta. Dado que los datos incluyen correos electrónicos, nombres de usuario, contraseñas y las URL de inicio de sesión exactas, los delincuentes podrían automatizar ataques de relleno de credenciales contra las cuentas expuestas, incluyendo correo electrónico, servicios financieros, redes sociales, sistemas empresariales y más. Esto aumenta drásticamente la probabilidad de fraude, posible robo de identidad, delitos financieros y campañas de phishing que podrían parecer legítimas porque hacen referencia a cuentas y servicios reales.
Cómo proteger sus cuentas, credenciales y privacidad
A estas alturas, la mayoría de nosotros sabemos que el malware puede propagarse a través de una variedad de métodos diferentes, incluyendo archivos adjuntos de correo electrónico maliciosos, actualizaciones de software falsas, extensiones de navegador comprometidas e incluso anuncios engañosos. Una vez que el dispositivo está infectado, el malware puede ejecutarse sin ser detectado y recopilar y transmitir credenciales. Si el dispositivo está infectado con malware, simplemente cambiar las contraseñas no sirve de nada porque la nueva contraseña también será capturada. Tener un software antivirus instalado en su dispositivo es una buena primera línea de defensa y su mejor opción para identificar y eliminar el malware. Un informe publicado en octubre identificó que solo un 66 por ciento de los adultos estadounidenses utilizaban software antivirus en 2025. Esto significa que hay un gran segmento de usuarios con dispositivos desprotegidos y potencialmente vulnerables a este tipo de malware de robo de información.
Cualquier persona que sospeche que su dispositivo puede estar infectado con malware debe tomar medidas inmediatas. En un dispositivo móvil, recomiendo actualizar el sistema operativo y el software de seguridad (si está instalado). Si no tiene software de seguridad, instálelo y analice el dispositivo para eliminar cualquier elemento identificado como malicioso o marcado como sospechoso. Actualizar el sistema operativo puede corregir vulnerabilidades conocidas, y tener las últimas versiones del software de seguridad también puede mejorar los métodos de detección. Además, revise los permisos de las aplicaciones, la configuración del teclado, la accesibilidad y el acceso de administrador del dispositivo. Como regla general, instale aplicaciones solo desde tiendas de aplicaciones oficiales. En una computadora con Windows, macOS, Linux, etc., incluso los usuarios sin conocimientos técnicos pueden realizar una revisión más exhaustiva de los programas, las extensiones del navegador y los procesos en ejecución para identificar actividades y software desconocidos o sospechosos.
El uso de un gestor de contraseñas puede reducir algunos de los riesgos asociados con el malware básico de robo de información y los registradores de pulsaciones de teclas. La mayoría de los gestores de contraseñas almacenan contraseñas y, a menudo, autocompletan las credenciales, y si bien esto puede evitar que los registradores de pulsaciones de teclas simples capturen las contraseñas escritas, no es inmune a otro malware más avanzado. Los gestores de contraseñas cifran los datos y garantizan la autenticación multifactor (MFA); si bien esto ayuda a mejorar la seguridad general de la cuenta, no protegen contra sistemas completamente comprometidos. Existen otras formas en que el malware de robo de información puede recopilar datos. Esto incluye capturar el contenido del portapapeles, extraer información de la memoria del navegador, robar cookies y tokens de sesión, o interceptar datos de formularios antes de que se cifren. Los gestores de contraseñas tienen muchos beneficios y ayudan a mejorar la seguridad contra la reutilización de contraseñas y el registro básico de pulsaciones de teclas, pero no pueden proteger contra todas las variantes de malware avanzado. Combinados con un buen antivirus, seguridad de punto final y actualizaciones periódicas del sistema operativo, son una opción más segura que no usar nada.
Desde una perspectiva de privacidad, la filtración de direcciones de correo electrónico y asociaciones de cuentas expuestas podría permitir a los delincuentes crear perfiles detallados de las personas. Conocer dónde tienen cuentas, qué servicios utilizan y, potencialmente, sus afiliaciones profesionales o personales podría, hipotéticamente, aumentar la tasa de éxito de los intentos de ingeniería social o phishing. La mayoría de las personas guardan documentos y comunicaciones confidenciales en su historial de correo electrónico sin darse cuenta del gran riesgo que esto representa si alguien obtiene acceso no autorizado. Una toma de control de la cuenta podría tener graves implicaciones para la privacidad, dependiendo de la información comprometida.
Fuente:
ExpressVPN Blog
https://www.expressvpn.com/blog/149m-infostealer-data-exposed/
Vía:
Segu-Info
https://blog.segu-info.com.ar/2026/01/149-millones-de-credenciales-expuestas.html